Исследователи в области информационной безопасности обнаружили серию критических уязвимостей в программах Sandboxie и Sandboxie-Plus, которые делают их основную функцию - изоляцию приложений - полностью бесполезной. Атакующий, запустив вредоносный код внутри так называемой "песочницы", может беспрепятственно вырваться за её пределы и получить полный доступ к операционной системе с наивысшим уровнем привилегий SYSTEM (учётная запись, обладающая максимальными правами в Windows). Разработчики уже выпустили исправленную версию 1.17.5, и пользователям настоятельно рекомендуется установить обновление.
Уязвимость CVE-2026-34458
Проблемы затрагивают все версии продукта до 1.17.2 включительно. По сути, под угрозой оказывается любой компьютер, где установлен устаревший Sandboxie - будь то домашний ПК, рабочая станция в офисе или сервер в крупной организации. Учитывая, что данное ПО широко применяется для безопасного запуска подозрительных файлов, тестирования программ или работы с сомнительными сайтами, последствия ошибок выходят далеко за рамки теории.
Самую серьёзную угрозу представляет уязвимость, получившая идентификатор CVE-2026-34459 (каждой найденной бреши присваивается уникальный номер в международном реестре CVE). Это переполнение буфера (ошибка, при которой программа записывает больше данных, чем может вместить выделенная область памяти) в обработчике GetRawInputDeviceInfoSlave сервиса SbieSvc. Данный компонент отвечает за взаимодействие между изолированным приложением и основной системой. Злоумышленник сначала отправляет специально сформированный запрос, который заставляет сервис вернуть 32 килобайта неинициализированной памяти - это позволяет обойти механизм рандомизации адресного пространства (защиту, затрудняющую предсказание расположения кода в памяти). Затем, используя непроверенную переменную длины, вредоносный процесс внутри песочницы выполняет сложную цепочку команд в стиле return-oriented programming (техника, при которой атакующий собирает полезную нагрузку из фрагментов легитимного кода). В результате атакующий получает привилегии SYSTEM, игнорируя даже самые строгие настройки безопасности.
Вторая критическая брешь, обозначенная как CVE-2026-34458, позволяет любому локальному пользователю без специальных прав обойти ограничения конфигурации, например, запрет на редактирование настроек администратором (EditAdminOnly). Сервис Sandboxie некорректно обрабатывает символы возврата каретки и перевода строки в определённых сообщениях. Этим можно воспользоваться: злоумышленник незаметно вставляет в глобальный файл настроек новый раздел песочницы с абсолютно неограниченными правами. После перезапуска сервиса такой профиль становится доступен - и атакующий получает надёжный, хоть и чуть более сложный, способ вырваться из изоляции и полностью скомпрометировать систему.
Помимо уязвимостей, связанных с побегом из песочницы, исследователи обнаружили ещё два существенных дефекта. Первый из них, CVE-2026-32603, приводит к локальному отказу в обслуживании (состояние, когда система или приложение перестаёт отвечать). Отправка некорректного запроса к драйверу Sandboxie вызывает мгновенный синий экран смерти и крах ядра операционной системы. Такой простой, но эффективный приём может быть использован для вывода из строя критически важных рабочих станций.
Второй дефект касается криптографии. Речь идёт об ошибке, отслеживаемой под номером CVE-2026-34527. При хешировании (преобразовании) паролей разработчики допустили снижение энтропии (меры непредсказуемости) со 160 до 80 бит. Иными словами, надёжность зашифрованных паролей упала вдвое. Если злоумышленник получит доступ к сохранённым данным, взломать их путём перебора (brute-force) станет значительно проще и быстрее.
Команда разработчиков Sandboxie устранила все перечисленные уязвимости в версии 1.17.3, а затем доработала исправления в релизе 1.17.5. В частности, в кодовой базе, зафиксированной коммитом c179b64, исправлены недавние регрессии: из-за новых строгих правил проверки конфигурации пользователи не могли переименовывать существующие песочницы. Теперь этот функционал снова работает корректно.
Чтобы обновление прошло безопасно, системным администраторам рекомендуется сначала полностью удалить уязвимую версию, предварительно сохранив конфигурационный файл со своими настройками. После деинсталляции необходимо установить свежий защищённый билд 1.17.5. Восстановление конфигурации из резервной копии позволит избежать потери созданных ранее профилей песочниц.
Данный инцидент наглядно демонстрирует, насколько хрупкой может быть иллюзия безопасности при использовании инструментов изоляции. Любая уязвимость в компоненте, отвечающем за разграничение доступа, способна свести на нет все преимущества песочницы. Для специалистов по информационной безопасности это очередное напоминание: регулярное обновление таких программ должно быть обязательным пунктом политики защиты, а не откладываться "на потом". Тем более что атакующие, как правило, не ждут.
Ссылки
- https://github.com/sandboxie-plus/Sandboxie/releases
- https://www.cve.org/CVERecord?id=CVE-2026-34458
- https://github.com/sandboxie-plus/Sandboxie/security/advisories/GHSA-6xqg-2cjq-95qf
- https://github.com/sandboxie-plus/Sandboxie/releases/tag/v1.17.3
