Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).
Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.
Читать полностью »
