Chrome schränkt Admin-Level-Starts ein, um die Sicherheit zu stärken

Google Chrome wird etwas sicherer, insbesondere unter Windows, da es eine neue Sicherheitsfunktion hinzufügt, die den Browser automatisch herabstuft, wenn er mit Administratorrechten gestartet wird.

Dieser Schritt zielt darauf ab, Angriffe mit hohen Rechten über den Browser zu stoppen und die Sicherheit der Benutzer auf allen Plattformen zu stärken.

Die Änderung, die kürzlich über einen Chromium-Code-Commit eingereicht wurde, baut auf einem ähnlichen Mechanismus auf, der 2019 in Microsoft Edge eingeführt wurde.

Table Of Contents

• In der Wildnis in sozialen Medien entdeckt
• Neuer Check hinzugefügt

In der Wildnis in sozialen Medien entdeckt

Wie von Leo (@Leopeva64) auf X entdeckt, wurde das Update entwickelt, um die Systemsicherheit zu verbessern, indem verhindert wird, dass Chrome unnötig im erhöhten Modus ausgeführt wird. Mit anderen Worten, Sie werden Chrome nicht mehr als „Admin“-Benutzer auf Windows-Maschinen ausführen können, es sei denn, es ist absolut notwendig.

Darüber hinaus wird Chrome nun versuchen, sich mit Standardbenutzerberechtigungen neu zu starten, wenn es mit Administratorrechten gestartet wird. Wenn der erste Neustartversuch fehlschlägt, wird Chrome auf das aktuelle Verhalten zurückfallen – das Ausführen mit erhöhten Rechten – jedoch nur, nachdem sichergestellt wurde, dass es nicht in einer Neustartschleife stecken bleibt.

„ Automatisch Benutzer herabstufen, die Chrome erhöht starten. Dieser CL basiert auf Änderungen, die wir in Edge, circa 2019, hatten, die versuchen, den Browser automatisch herabzustufen, wenn er mit dem erhöhten Teil eines geteilten / verlinkten Tokens ausgeführt wird ,” schrieb Stefan Smolen, der mit dem Microsoft Edge-Team arbeitet und einer der Hauptbeiträger zu diesem Update ist, in einem Chromium-Commit.

„Dies versucht automatisch einmal einen Neustart, und wenn es immer noch fehlschlägt, fällt es auf das aktuelle Verhalten zurück (das versucht, als Admin zu starten).“

Microsoft hat auch einen Befehlszeilen-Schalter „-do-not-de-elevate“ eingeführt, um zu verhindern, dass Chrome nach einem automatischen Neustart herabgestuft wird. Dies hilft, potenzielle unendliche Neustartschleifen zu verhindern, wenn der Browser nicht mit Standardberechtigungen gestartet werden kann.

„Stufen Sie den Browser beim Start nicht herab. Wird nach der Herabstufung verwendet, um unendliche Schleifen zu verhindern,“ steht in einem Kommentar im Quellcode.

Diese Herabstufung gilt jedoch nicht für Chrome-Prozesse, die in Automatisierungsszenarien mit erhöhten Rechten gestartet werden, um die Kompatibilität mit Testwerkzeugen und Skripten sicherzustellen.

Neuer Check hinzugefügt

Um zu erkennen, wann erhöhte Berechtigungen nicht benötigt werden, verwendet Chrome jetzt einen neuen Check namens (UserAccountIsUnnecessarilyElevated), der Situationen identifiziert, in denen die Benutzerkontensteuerung (UAC) aktiviert ist, der Browser jedoch weiterhin mit einem erhöhten, verlinkten Token ausgeführt wird – was Chrome dazu veranlasst, mit Standardberechtigungen neu zu starten.

Darüber hinaus wurde die Funktion RunDeElevatedNoWait geändert, um das aktuelle Arbeitsverzeichnis zu akzeptieren, was Probleme anspricht, bei denen das Standardverzeichnis (typischerweise system32) zuvor zu unerwartetem oder fehlerhaftem Verhalten in einigen Szenarien führte.

Mit dieser Initiative warnt das Chromium-Team vor den Sicherheitsrisiken und Kompatibilitätsproblemen, die auftreten können, wenn mit Administratorrechten gearbeitet wird. Indem Chrome standardmäßig auf Standardberechtigungen zurückgreift, möchte der Browser ein sichereres, benutzerfreundlicheres Modell verfolgen und ihn robuster in der zunehmend komplexen digitalen Landschaft von heute machen.