Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).
Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.
Таким образом, с установленным обновлением, при сбросе дополнительных настроек IE до уровня по умолчанию пользователь получает отключенный режим EPM.
Рис. Дополнительные настройки IE11 в режиме по умолчанию на Windows 8.1. EPM выключен.
Мы в свою очередь рекомендуем пользователям проверить настройку своего браузера, если вы используете IE, и включить эту настройку если она выключена. Кроме этого заметьте, что несмотря на активный режим EPM/AppContainer Windows 8/8.1, IE запускает свои вкладки как 32-битные процессы на x64 системе. Для того, чтобы включить полную поддержку защиты IE нужно вручную поставить галочку «Включить 64-разрядные процессы для расширенного защищенного режима».
Автор: esetnod32