Browser-Sandbox
Was ist Browser-Sandbox?
Browser-SandboxIsolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht.
Die Browser-Sandbox ist die Menge an Betriebssystemmechanismen, mit denen der Browser-Prozess weniger vertrauenswürdige Kindprozesse — Renderer, GPU-Prozess, Plugins, Netzwerkdienst — auf eine minimale Capabilities-Menge beschränkt. Chromium nutzt unter Windows Job Objects und Integrity Levels, unter macOS Seatbelt, unter Linux seccomp-bpf und Namespaces; Firefox verwendet vergleichbare Primitive. Selbst wenn Angreifer-JavaScript oder Renderer-Speicherkorruption Erfolg hat, verhindert die Sandbox beliebigen Dateizugriff, Befehlsausführung und Inter-Prozess-Interaktion — dafür braucht es zusätzlich einen Sandbox-Escape. Zusammen mit Site Isolation bildet die Sandbox die zentrale Verteidigung moderner Browser, regelmäßig getestet bei Pwn2Own.
● Beispiele
- 01
Chrome-Renderer läuft unter Windows als Low-Integrity-Job-Object mit Token-Restriktionen.
- 02
Pwn2Own-Teams verketten Renderer-RCE und Sandbox-Escape für vollständige Codeausführung.
● Häufige Fragen
Was ist Browser-Sandbox?
Isolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Browser-Sandbox?
Isolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht.
Wie funktioniert Browser-Sandbox?
Die Browser-Sandbox ist die Menge an Betriebssystemmechanismen, mit denen der Browser-Prozess weniger vertrauenswürdige Kindprozesse — Renderer, GPU-Prozess, Plugins, Netzwerkdienst — auf eine minimale Capabilities-Menge beschränkt. Chromium nutzt unter Windows Job Objects und Integrity Levels, unter macOS Seatbelt, unter Linux seccomp-bpf und Namespaces; Firefox verwendet vergleichbare Primitive. Selbst wenn Angreifer-JavaScript oder Renderer-Speicherkorruption Erfolg hat, verhindert die Sandbox beliebigen Dateizugriff, Befehlsausführung und Inter-Prozess-Interaktion — dafür braucht es zusätzlich einen Sandbox-Escape. Zusammen mit Site Isolation bildet die Sandbox die zentrale Verteidigung moderner Browser, regelmäßig getestet bei Pwn2Own.
Wie schützt man sich gegen Browser-Sandbox?
Schutzmaßnahmen gegen Browser-Sandbox kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Browser-Sandbox?
Übliche alternative Bezeichnungen: Renderer-Sandbox.
● Verwandte Begriffe
- appsec№ 1051
Site Isolation
Chromium-Sicherheitsarchitektur, die Dokumente unterschiedlicher Sites in separate Betriebssystemprozesse legt, sodass ein kompromittierter Renderer keine fremden Daten lesen kann.
- defense-ops№ 964
Sandbox-Escape
Schwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt.
- appsec№ 1182
Type-Confusion-Schwachstelle
Memory-Safety-Bug, bei dem Code auf ein Objekt mit einem Typ zugreift, der nicht zur tatsächlichen Allokation passt, und so Lese-, Schreib- oder Codeausführung erlaubt.
- vulnerabilities№ 1193
Use-After-Free
Speicher-Sicherheitsfehler, bei dem ein Programm Speicher weiterhin nutzt, nachdem dieser bereits freigegeben wurde – ermöglicht oft Kontrolle über Objektzustand und Kontrollfluss.
- appsec№ 1075
Spekulative-Ausführung-Seitenkanal
Mikroarchitekturelle Schwachstellenklasse, bei der CPUs Daten über Caches und Predictors leaken, nachdem sie Befehle spekulativ entlang nicht-eingeschlagener Pfade ausgeführt haben.
- appsec№ 516
iframe-sandbox-Attribut
HTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt.
● Siehe auch
- № 564JIT-Spray
- № 646Bösartige Browser-Erweiterung
- № 808PDF-Exploit