Mozilla已通过其 Mozilla Hacks 博客宣布,它计划在 Firefox 95 中发布一种名为 RLBox 的“新型沙盒技术”,该技术一直在与加州大学圣地亚哥分校和德克萨斯大学的研究人员一起开发。它表示 RLBox 可以更轻松地有效隔离浏览器的子组件,并为 Mozilla 提供了比传统沙盒更多的选择。
Mozilla 表示,这种使用 WebAssembly 来隔离潜在错误代码的沙盒新方法建立在 Firefox 74 和 Firefox 75 中分别向 Linux 和 Mac 用户提供的原型之上。在 Firefox 95 中,RLBox 将部署在所有支持的 Firefox 平台上,包括桌面和移动设备,以隔离三个不同的模块:Graphite、Hunspell 和 Ogg。在 Firefox 96 中,另外两个模块 Expat 和 Woff2 也将被隔离。
在评论 RLBox 的后续步骤时,Mozilla 工程师 Bobby Holley 说:
“RLBox 在几个方面对我们来说是一个巨大的胜利:它保护我们的用户免受意外缺陷和供应链攻击,并且当此类问题在上游披露时,它减少了我们争先恐后的需要。因此,我们打算继续应用于更多组件。有些组件不适合这种方法——要么是因为它们过于依赖与程序的其余部分共享内存,要么是因为它们对性能过于敏感而无法接受所产生的适度开销——但我们已经确定了一个数字其他优秀候选人。”
还应注意的是,该公司已更新其漏洞赏金计划,即使隔离库中没有漏洞,研究人员也可以通过绕过沙箱获得报酬;这将有助于进一步加强浏览器的安全性。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun102374.html