Chrome ограничивает запуск с правами администратора для повышения безопасности

Google Chrome собирается стать немного безопаснее, особенно на Windows, так как добавляет новую функцию безопасности, которая автоматически понижает уровень браузера, когда он запускается с правами администратора.

Этот шаг направлен на предотвращение атак с высокими привилегиями через браузер и укрепление безопасности пользователей на всех платформах.

Изменение, недавно представленное через коммит кода Chromium, основывается на аналогичном механизме, введенном в Microsoft Edge в 2019 году.

Table Of Contents

• Обнаружено в дикой природе в социальных сетях
• Добавлена новая проверка

Обнаружено в дикой природе в социальных сетях

Как заметил Лео (@Leopeva64) в X, обновление предназначено для улучшения безопасности системы, предотвращая ненужный запуск Chrome в повышенном режиме. Другими словами, вы больше не сможете запускать Chrome как пользователь «администратор» на машинах Windows, если это не абсолютно необходимо.

Кроме того, Chrome теперь попытается перезапустить себя с обычными правами пользователя, когда он запущен с правами администратора. Если первая попытка перезапуска не удалась, Chrome вернется к текущему поведению — запуску с повышенными привилегиями — но только после того, как убедится, что не застрянет в цикле перезапуска.

“ Автоматически понижать уровень пользователей, запускающих Chrome с повышенными правами. Этот CL основан на изменениях, которые у нас были в Edge, около 2019 года, который пытается автоматически понизить уровень браузера, когда он запускается с повышенной частью разделенного / связанного токена ,” написал Стефан Смолен, работающий с командой Microsoft Edge и один из ключевых участников этого обновления, в коммите Chromium.

“Это автоматически пытается перезапустить один раз, а затем, если это все еще не удается, возвращается к текущему поведению (которое пытается запустить с правами администратора).”

Microsoft также представила командный переключатель, “-do-not-de-elevate,” чтобы остановить Chrome от понижения уровня после автоматического перезапуска. Это помогает предотвратить потенциальные бесконечные циклы перезапуска, когда браузер не удается запустить с обычными привилегиями.

“Не понижать уровень браузера при запуске. Используется после понижения уровня, чтобы предотвратить бесконечные циклы,” читается в комментарии в исходном коде.

Однако это понижение уровня не будет применяться к процессам Chrome, запущенным с повышенными правами в сценариях автоматизации, что обеспечивает совместимость с инструментами тестирования и скриптами.

Добавлена новая проверка

Чтобы определить, когда повышенные привилегии не нужны, Chrome теперь использует новую проверку под названием (UserAccountIsUnnecessarilyElevated), которая определяет ситуации, когда Контроль учетных записей пользователей (UAC) включен, но браузер все еще работает с повышенным, связанным токеном — побуждая Chrome перезапуститься с обычными правами.

Кроме того, функция RunDeElevatedNoWait была изменена, чтобы принимать текущий рабочий каталог, что решает проблемы, когда каталог по умолчанию (обычно system32), ранее приводил к неожиданному или ошибочному поведению в некоторых сценариях.

С этой инициативой команда Chromium предупреждает о рисках безопасности и проблемах совместимости, которые могут возникнуть при запуске с административными правами. По умолчанию, устанавливая стандартные привилегии, Chrome стремится следовать более безопасной, более удобной модели, делая браузер более устойчивым в сегодняшнем все более сложном цифровом ландшафте.