Недавно мы писали о
возможностях защиты от эксплойтов для пользователей Internet Explorer,
которые Microsoft ввела с выпуском последних версий браузера — IE10,
IE11 для Windows 7 x64, 8, 8.1.
Технология, которая реализует подобные возможности, называется
sandboxing и реализована в Internet Explorer, начиная с десятой версии
(IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode,
EPM). Мы также указывали,
что EPM работает по разному для Windows 7 x64 и Windows 8/8.1. В случае
с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы
для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет
из себя основную технологию обхода ограничений накладываемых ASLR (в
случае 64-битного адресного пространства ASLR имеет больше возможностей
по произвольному распределению памяти, кроме этого столь внушительный
объем виртуальной памяти сам по себе значительно усложняет spray).
Для
IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, -
заставляет браузер запускать свои вкладки в режиме AppContainer (который
по сути является продолжением ограничений, накладываемых Integrity Level).
Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, где
его нужно было включать вручную. Известно, что многие пользователи
используют браузер с настройками по умолчанию и не прибегают к их
изменениям, поэтому EPM, включенный в таком виде, был хорошей новостью,
особенно для пользователей новейшей Windows 8.1, - там IE11
дистрибуцируется по умолчанию. Однако недавнее обновление для Internet
Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday, по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.
Таким образом, с установленным обновлением, при сбросе
дополнительных настроек IE до уровня по умолчанию пользователь получает
отключенный режим EPM.
Рис. Дополнительные настройки IE11 в режиме по умолчанию на Windows 8.1. EPM выключен.
Мы
в свою очередь рекомендуем пользователям проверить настройку своего
браузера, если вы используете IE, и включить эту настройку если она
выключена. Кроме этого заметьте, что несмотря на активный режим
EPM/AppContainer Windows 8/8.1, IE запускает свои вкладки как 32-битные
процессы на x64 системе. Для того, чтобы включить полную поддержку
защиты IE, нужно вручную поставить галочку «Включить 64-разрядные
процессы для расширенного защищенного режима».
Артем Баранов, ведущий вирусный аналитик ESET