Большинство эксплоитов для Windows, позволяющих преступникам обходить механизм «песочницы» и повышать привилегии, основаны на уязвимостях в win32k.sys.
Разработчики web-браузера Google Chrome больше не будут использовать драйвер win32k.sys в современных модификациях Windows версии 8.0 и выше. Об этом сообщается в блоге ИБ-компании ESET на портале Хабрахабр.
Речь идет о так называемых процессах «песочницы», в контекстах которых исполняется и отображается код web-страниц. В браузере Google Chrome используется специальная схема безопасности на основе запуска каждой создаваемой вкладки в контексте отдельного процесса, который не может выполнять важные функции оперативной системы в силу ограничений, которые налагаются определенным объектом задания.
Функцией драйвера win32k.sys, как и других GUI-приложений в Windows, является рисование окон и элементов GUI. Chrome рисует GUI своих страниц из одного процесса – брокера, при этом для остальных процессов «песочницы» нет нужды в использовании драйвера, однако они все равно вынуждены это делать.
Летом 2014 года для Chrome появился специальный параметр - enable_win32k_renderer_lockdown, позволяющий выполнять операцию, аналогичную той, которая появится в будущих обновлениях браузера. Запрет на использование драйвера обусловлен вопросом обеспечения безопасности Google Chrome, поскольку большинство эксплоитов для Windows, позволяющих киберпреступникам обходить механизм «песочницы» и повышать привилегии, основаны на уязвимостях в win32k.sys.
От классики до авангарда — наука во всех жанрах