研究人員開發(fā)了提高Firefox安全性的框架

來自加州大學圣地亞哥分校，德克薩斯大學奧斯汀分校，斯坦福大學和Mozilla的研究人員開發(fā)了一個新的框架來提高網(wǎng)絡(luò)瀏覽器的安全性.. 該框架被稱為RLBox，已被集成到Fire fox中，以補充Fire fox其他安全方面的努力。

RLBox通過將易受攻擊的第三方庫與瀏覽器的其他部分分離以包含潛在的損壞來提高瀏覽器的安全性-這種做法稱為沙盒。 這項研究將發(fā)表在USEN IX安全研討會的會議記錄中。

瀏覽器，如Fire fox，依賴于第三方庫來支持媒體解碼（例如，渲染圖像或播放音頻文件）等許多其他功能。 這些庫通常是用低級編程語言編寫的，比如C，并且對性能進行了高度優(yōu)化。

加州大學圣地亞哥分校計算機科學與工程系的助理教授迪安·斯特凡(Deian Stefan)指出：“不幸的是，C代碼中的錯誤往往是安全漏洞——攻擊者真正擅長利用的安全漏洞?！?/p>

RLBox允許瀏覽器繼續(xù)使用現(xiàn)成的、高度調(diào)優(yōu)的庫，而不必擔心這些庫的安全影響。 “通過隔離庫，我們可以確保攻擊者不能利用這些庫中的錯誤來破壞瀏覽器的其他部分?！?D.項目的學生，Shravan Narayan。

RLBox的一個關(guān)鍵部分是底層的沙盒機制，它可以防止bug庫干擾瀏覽器的其他部分。 該研究研究了不同權(quán)衡的各種沙箱技術(shù).. 但該團隊最終與總部位于舊金山的工程團隊合作，采用了一種基于WebCompass的沙盒技術(shù)，這是一種新的中間語言，設(shè)計時考慮到了沙盒。 該團隊認為，Web組裝將是未來安全瀏覽器和更廣泛的安全系統(tǒng)的關(guān)鍵部分。 最近的一篇MozillaHack博客文章詳細介紹了網(wǎng)絡(luò)組裝沙盒的工作。

“不幸的是，把一個庫放在沙箱里是不夠的，你需要仔細檢查沙箱里的所有數(shù)據(jù)-否則，一個復雜的攻擊者可以欺騙瀏覽器做錯誤的事情，并使沙箱努力無用，”斯特凡說。 RLBox消除了這些類型的攻擊，方法是標記所有跨越邊界的數(shù)據(jù)，并確保所有這些標記數(shù)據(jù)在使用之前都得到驗證。

已將RLBox集成到Mozilla的Fire fox中，并將在Fire fox74中向Linux用戶和Fire fox75中的Mac用戶發(fā)送，計劃在其他平臺實施。

莫茲利亞的首席工程師鮑比·霍利說：“這是件大事。 安全是我們的首要任務，在C/C中犯危險的錯誤太容易了。 我們在Rust中編寫了很多新代碼，但Fire fox是一個龐大的代碼庫，有數(shù)百萬行C/C，而且不會很快消失。 rL Box使得在當前瀏覽器中使用的進程級沙盒無法實現(xiàn)的粒度上快速、容易地隔離現(xiàn)有的代碼塊。

在研究中，團隊使用RLBox隔離了半打庫。 首先，火狐將與他們的沙盒石墨字體塑造庫。 莫茲利亞計劃在未來更廣泛地應用沙盒，最終使數(shù)百萬用戶的瀏覽器更加安全。