社区编辑申请
注册/登录
Mozilla 推出全新沙盒技术 RLBox,关键组件免受零日漏洞威胁
安全 漏洞
Mozilla 今天通过其 Mozilla Hacks 博客对外宣布,他们计划为 Firefox 浏览器新增一个名为 RLBox 的新型沙盒技术,该技术是 Mozilla 与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员所共同开发的,并将随 Firefox 95 一同推出。

Mozilla 今天通过其 Mozilla Hacks 博客对外宣布,他们计划为 Firefox 浏览器新增一个名为 RLBox 的新型沙盒技术,该技术是 Mozilla 与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员所共同开发的,并将随 Firefox 95 一同推出。Mozilla 表示,RLBox 能够更轻松有效地隔离浏览器的子组件,并为 Mozilla 提供了比传统沙盒技术更多的优势。

沙盒是整个行业广泛使用的技术,浏览器可以在沙盒进程中运行 Web 内容,以尝试阻止恶意或有漏洞的单一站点危及整个浏览器。

RLBox 旨在对第三方库进行沙盒处理,它由一个基于 WebAssembly 的沙盒和一个 API 组成,用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于,它对性能的影响和内存使用更低,这也使得它有可能对关键的浏览器组件进行沙盒处理。

该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。随着 Firefox 95 的推出,RLBox 将脱离原型阶段并且不再局限于 Linux 和 Mac,RLBox 后续将被部署至所有支持的 Firefox 平台上,包括桌面端和移动端。在即将推出的 Firefox 95 中,RLBox 将率先用于隔离三个不同的模块:Graphite、Hunspell 和 Ogg。在 Firefox 96 中,另外两个模块:Expat 和 Woff2 也将被隔离。

Mozilla 工程师 Bobby Holley 表示:

  • RLBox 让我们在几个方面都能获得巨大的好处:它能够保护用户不受意外缺陷和供应链攻击的影响,而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁,也能减少我们仓促应付的情况发生。因此,我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存,以及对性能太敏感,并不适合这种方法,但我们已经确定了其他一些良好的候选者。

Mozilla 还一同更新了漏洞悬赏计划,在新的计划中,即使隔离库中没有漏洞,但只要研究人员能够绕过新的沙盒就能获得报酬,这也有助于进一步加强 Firefox 浏览器的安全性。

RLBox 并非只能用于 Firefox 浏览器,Mozilla 还希望其他浏览器和软件项目也能够采用这项技术,从而为用户在更广泛的应用领域带来更高的安全性。如无意外,Firefox 95 将于今天晚些时候正式推出。

本文转自OSCHINA

本文标题:Mozilla 推出全新沙盒技术 RLBox,关键组件免受零日漏洞威胁

本文地址:https://www.oschina.net/news/172316/mozilla-firefox-rlbox

责任编辑:未丽燕 来源: 开源中国
相关推荐

2022-05-10 14:11:05

网络安全网络犯罪

2022-06-15 11:02:40

网络安全运营

2022-06-16 17:02:49

微软智能云混合云Azure

2022-05-27 10:00:06

C++游戏引擎

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-14 23:34:10

Linux安全服务器

2022-06-03 09:41:03

DockerKubernetes容器

2022-06-27 17:46:53

PythonFlask

2022-06-23 12:03:00

网络安全网络安全事故

2022-06-20 14:57:50

漏洞安全威胁

2022-06-01 17:47:24

运维监控系统

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-07 11:16:51

云原生人工智能运维

2022-06-09 18:04:46

网络攻击网络安全

2022-06-24 11:34:38

云计算应用安全

2022-06-22 05:53:49

城域网广域网VXLAN

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-07 09:59:21

网络安全安全漏洞

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号