Sandbox de Navigateur
Qu'est-ce que Sandbox de Navigateur ?
Sandbox de NavigateurCouche d'isolation au niveau OS qui confine les processus renderer et auxiliaires du navigateur afin qu'un code web compromis ne puisse pas lire le système de fichiers ni d'autres applications.
La sandbox du navigateur est l'ensemble des mécanismes du système d'exploitation que le processus principal utilise pour restreindre les processus enfants moins fiables — renderers, processus GPU, plugins, service réseau — à un minimum de capacités. Chromium s'appuie sur les job objects et les niveaux d'intégrité sous Windows, Seatbelt sous macOS, seccomp-bpf et namespaces sous Linux ; Firefox utilise des primitives similaires. Même si du JavaScript attaquant ou une corruption mémoire dans le renderer réussit, la sandbox empêche l'accès libre aux fichiers, l'exécution de commandes ou l'interaction avec d'autres processus sans une évasion supplémentaire. Combinée à Site Isolation, c'est la défense principale du navigateur moderne, régulièrement éprouvée au Pwn2Own.
● Exemples
- 01
Le renderer Chrome tourne en job object basse intégrité avec restrictions de jeton sous Windows.
- 02
Au Pwn2Own, les participants chaînent une RCE renderer et une évasion de sandbox pour exécuter du code.
● Questions fréquentes
Qu'est-ce que Sandbox de Navigateur ?
Couche d'isolation au niveau OS qui confine les processus renderer et auxiliaires du navigateur afin qu'un code web compromis ne puisse pas lire le système de fichiers ni d'autres applications. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Sandbox de Navigateur ?
Couche d'isolation au niveau OS qui confine les processus renderer et auxiliaires du navigateur afin qu'un code web compromis ne puisse pas lire le système de fichiers ni d'autres applications.
Comment fonctionne Sandbox de Navigateur ?
La sandbox du navigateur est l'ensemble des mécanismes du système d'exploitation que le processus principal utilise pour restreindre les processus enfants moins fiables — renderers, processus GPU, plugins, service réseau — à un minimum de capacités. Chromium s'appuie sur les job objects et les niveaux d'intégrité sous Windows, Seatbelt sous macOS, seccomp-bpf et namespaces sous Linux ; Firefox utilise des primitives similaires. Même si du JavaScript attaquant ou une corruption mémoire dans le renderer réussit, la sandbox empêche l'accès libre aux fichiers, l'exécution de commandes ou l'interaction avec d'autres processus sans une évasion supplémentaire. Combinée à Site Isolation, c'est la défense principale du navigateur moderne, régulièrement éprouvée au Pwn2Own.
Comment se défendre contre Sandbox de Navigateur ?
Les défenses contre Sandbox de Navigateur combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sandbox de Navigateur ?
Noms alternatifs courants : Sandbox du renderer.
● Termes liés
- appsec№ 1051
Isolation des Sites
Architecture de sécurité de Chromium qui place les documents de sites distincts dans des processus système séparés afin qu'un renderer compromis ne puisse pas lire les données d'autres sites.
- defense-ops№ 964
Sandbox escape
Vulnerabilite ou chaine d'exploits permettant a un code de s'echapper d'un sandbox isolant — navigateur, VM ou hyperviseur — pour executer du code dans l'hote environnant.
- appsec№ 1182
Vulnérabilité de Confusion de Type
Bug de sûreté mémoire où le code accède à un objet via un type incompatible avec son allocation réelle, permettant souvent lecture, écriture ou exécution arbitraires.
- vulnerabilities№ 1193
Use-After-Free
Bug de sûreté mémoire où un programme continue d'utiliser une zone mémoire après sa libération, permettant souvent à un attaquant de manipuler l'état des objets et de détourner l'exécution.
- appsec№ 1075
Canal Auxiliaire d'Exécution Spéculative
Classe de vulnérabilités microarchitecturales où les CPU fuient des données via caches et prédicteurs après avoir exécuté spéculativement des instructions qui n'auraient pas dû s'exécuter.
- appsec№ 516
Attribut sandbox d'iframe
Attribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
● Voir aussi
- № 564JIT Spray
- № 646Extension de Navigateur Malveillante
- № 808Exploit PDF