Безпека IE8: технологія захисту пам’яті DEP (NX), Різне, Інтернет-технології, статті

Компанія Microsoft помалу почала ділитися технологіями захисту інформації, використовуваними в новій версії веб-браузера Internet Explorer 8. Сьогодні мова піде про технології DEP (абб. від Data Execution Protection).

Привіт, я Ерік Лоуренс (Eric Lawrence) з команди Internet Explorer Security. З початком конференції з безпеки RSA, що почалася минулого тижня, я хотів би почати ділитися інформацією про функції та перевагах безпеки в Internet Explorer 8 Beta 1.

Протягом наступних тижнів ми в деталях поговоримо про поліпшення в безпеці Beta 1, таких як новий Safety Filter, управління елементами ActiveX і нові функції AJAX для створення більш безпечних mashup (XDomainRequest і XDM). Це далеко не весь перелік функцій, запланованих для фінальної версії, тому про них ми більш детально поговоримо в міру виходу нових бета-версій.

Функції безпеки Internet Explorer 8 орієнтовані на три основних джерела вразливостей в безпеки: соціальна інженерія, інтернет-сервери і уразливості в самих браузерах. Дана стаття буде присвячена технології Data Execution Prevention (DEP) в IE8 – функції, яка покликана заблокувати потенційні уразливості в браузері.

Технологія захисту пам’яті DEP (NX) в Internet Explorer 8
В Internet Explorer 7 в Windows Vista була вперше представлена ​​(вимкнена за замовчуванням) функція захисту пам’яті, яка допомагала уникати атаки з Інтернету. Ця функція також відома як Data Execution Prevention (DEP) або No-Execute (NX). В Internet Explorer 8 в Windows Server 2008 і Windows Vista SP1 дана функція буде за замовчуванням включена.

DEP допомагає уникнути атак шляхом запобігання запуску коду, розміщеного в ділянці пам’яті, позначеному як невиконувані. DEP в комбінації з іншими технологіями, якASLR, Робить процес використання зломщиками різноманітних вразливостей, пов’язаних з пам’яттю (наприклад, переповнення буфера) набагато більш складним. Найкраще ця технологія працює для Internet Explorer і для завантажувальних аддонов. Для забезпечення всіх цих функцій безпеки від користувача не потрібно ніяких додаткових дій і ніяких запитів йому показано не буде.

Працює DEP (NX)
В Internet Explorer 7 з причин сумісності DEP за замовчуванням був відключений. Кілька популярних аддонов були несумісні з DEP і могли викликати завершення роботи Internet Explorer при включеному DEP. Найчастіше проблема полягала в тому, що ці доповнення були скомпільовані з використанням старої бібліотеки ATL. До версії 7.1 SP1 ATL покладалася на динамічно згенерований код, який несумісний з DEP. І хоча більшість розробників популярних аддонов вже випустили оновлені для DEP версії, деякі можуть бути не оновлені до виходу Internet Explorer 8.

На щастя нові DEP API були додані в Windows Server 2008 і Vista SP1, щоб дозволити використання DEP, зберігаючи сумісність зі старими версіями ATL. Нові API дозволяють Internet Explorer використовувати DEP, при цьому старі аддони, що використовують старі версії ATL, не стануть причиною завершення роботи Internet Explorer.

У рідкісних випадках, коли додаток несумісне з DEP з якоїсь іншої причини, відмінної від використання старої версії ATL, опція в групових політиках дозволить організаціям вимикати DEP для Internet Explorer до тих пір, поки оновлена ​​версія доповнення не буде розгорнута. Локальні адміністратори можуть контролювати використання DEP, запустивши Internet Explorer як адміністратори і вимкнувши опцію захисту пам’яті.

Перевірка стану вашої безпеки
Побачити, які саме процеси в Windows Vista захищені DEP, ви можете у вкладці диспетчера задач. Для більш ранніх версій Windows ви можете використовувати Process Explorer. В обох випадках перевірте, щоб була відзначена опція Data Execution Prevention у виборі відображаються колонок.

Заклик до дії для розробників
Якщо ви є розробником різного роду додатків для Internet Explorer, то ви вже сьогодні можете переконатися в тому, що ваші користувачі зможуть спокійно оновитися до IE8. Для цього потрібно лише:


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*