Компания Google выпустила в релиз 47-ю версию своего популярного веб-браузера Chrome. Кроме исправления большого количества уязвимостей в веб-браузере, для него добавили новую функцию, которая уже была реализована в бета-версии. Речь идет о запрете на использование драйвера win32k.sys в "песочнице" Chrome. В новую версию веб-браузера добавили специальную настройку под названием "Использовать закрытую среду Win32k для плагинов PPAPI Windows", которая позволяет указать плагины, надлежащие специальному контролю. Речь идет в первую очередь о плагинах Flash Player и PDF Reader, эксплойты для которых не являются редкостью. С выставленной настройкой, для sandboxed-процессов Chrome, в контекстах которых запускаются эти проигрыватели, будет включаться запрещение на использование "win32k.sys". Настройку можно найти на вкладке флагов Chrome по адресу "chrome://flags/#enable-ppapi-win32k-lockdown". Изначально она выставлена в значение «по умолчанию», что может означать ее активность для всех запускаемых sandboxed-вкладок. В качестве значений присутствуют следующие: «Отключено», «Только Flash», «Только PDF», «Flash и PDF», «Все плагины». Поскольку атакующие часто используют содержимое для сторонних плагинов с целью эксплуатации уязвимостей, их вынесли в качестве отдельных пунктов в списке. Уязвимости драйвера "win32k.sys" используются злоумышленниками для получения максимальных прав SYSTEM в системе, что совместно с RCE-уязвимостью в веб-браузере позволяет получить полный контроль над системой пользователя через веб-браузер путем запуска исполняемого кода атакующих в системе. Получив такие права, атакующие могут запускать в системе код режима ядра, получая максимальные возможности в скомпрометированной системе. Отключение использования драйвера "win32k.sys" для sandboxed-процессов является еще одной существенной мерой для обеспечения безопасности пользователей от деструктивных действий эксплойтов.
Источник