Sandbox del Navegador
¿Qué es Sandbox del Navegador?
Sandbox del NavegadorCapa de aislamiento a nivel de sistema operativo que confina el renderer y procesos auxiliares del navegador para que el código web comprometido no acceda al sistema de archivos u otras aplicaciones.
El sandbox del navegador es el conjunto de mecanismos del sistema operativo que el proceso principal del navegador usa para restringir los procesos hijos menos confiables — renderers, proceso GPU, plugins, servicio de red — a un conjunto mínimo de capacidades. Chromium usa job objects e integrity levels en Windows, Seatbelt en macOS y seccomp-bpf con namespaces en Linux; Firefox usa primitivas similares. Aunque el atacante logre una corrupción de memoria en el renderer, el sandbox impide el acceso arbitrario a archivos, ejecución de comandos o interacción con otros procesos sin un escape adicional. Junto con Site Isolation, es la defensa principal del navegador moderno frente a exploits drive-by y se prueba con frecuencia en Pwn2Own.
● Ejemplos
- 01
Renderer de Chrome corriendo como un job object de baja integridad con restricciones de token en Windows.
- 02
Concursantes de Pwn2Own encadenando RCE en el renderer con un escape de sandbox para ejecutar código.
● Preguntas frecuentes
¿Qué es Sandbox del Navegador?
Capa de aislamiento a nivel de sistema operativo que confina el renderer y procesos auxiliares del navegador para que el código web comprometido no acceda al sistema de archivos u otras aplicaciones. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Sandbox del Navegador?
Capa de aislamiento a nivel de sistema operativo que confina el renderer y procesos auxiliares del navegador para que el código web comprometido no acceda al sistema de archivos u otras aplicaciones.
¿Cómo defenderse de Sandbox del Navegador?
Las defensas contra Sandbox del Navegador combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Sandbox del Navegador?
Nombres alternativos comunes: Sandbox del renderer.