首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Mozilla 推出全新沙盒技术 RLBox,关键组件免受零日漏洞威胁

出品|开源中国

文|Travis

Mozilla 今天通过其Mozilla Hacks 博客对外宣布,他们计划为 Firefox 浏览器新增一个名为RLBox的新型沙盒技术,该技术是 Mozilla 与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员所共同开发的,并将随 Firefox 95 一同推出。Mozilla 表示,RLBox 能够更轻松有效地隔离浏览器的子组件,并为 Mozilla 提供了比传统沙盒技术更多的优势。

沙盒是整个行业广泛使用的技术,浏览器可以在沙盒进程中运行 Web 内容,以尝试阻止恶意或有漏洞的单一站点危及整个浏览器。

RLBox 旨在对第三方库进行沙盒处理,它由一个基于WebAssembly的沙盒和一个 API 组成,用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于,它对性能的影响和内存使用更低,这也使得它有可能对关键的浏览器组件进行沙盒处理。

该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。随着 Firefox 95 的推出,RLBox 将脱离原型阶段并且不再局限于 Linux 和 Mac,RLBox 后续将被部署至所有支持的 Firefox 平台上,包括桌面端和移动端。在即将推出的 Firefox 95 中,RLBox 将率先用于隔离三个不同的模块:Graphite、Hunspell 和 Ogg。在 Firefox 96 中,另外两个模块:Expat 和 Woff2 也将被隔离。

Mozilla 工程师 Bobby Holley 表示:

RLBox 让我们在几个方面都能获得巨大的好处:它能够保护用户不受意外缺陷和供应链攻击的影响,而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁,也能减少我们仓促应付的情况发生。因此,我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存,以及对性能太敏感,并不适合这种方法,但我们已经确定了其他一些良好的候选者。

Mozilla 还一同更新了漏洞悬赏计划,在新的计划中,即使隔离库中没有漏洞,但只要研究人员能够绕过新的沙盒就能获得报酬,这也有助于进一步加强 Firefox 浏览器的安全性。

RLBox 并非只能用于 Firefox 浏览器,Mozilla 还希望其他浏览器和软件项目也能够采用这项技术,从而为用户在更广泛的应用领域带来更高的安全性。如无意外,Firefox 95 将于今天晚些时候正式推出。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20211207A043V400?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券