Liam Tung Contributor
Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 7 december 2021 | Ämne: Enterprise Software 
Mozilla har släppt Firefox 95 och levererat den med sin nya säkerhetssandlådeteknik som heter RLBox för Firefox på Windows, Linux och macOS.
Sandlådetekniken utvecklades tillsammans av forskare vid Mozilla, University of California, San Diego, University of Texas, Austin och Stanford University.
Mozilla släppte en förhandsvisning av sin för Firefox på Linux och macOS i december förra året och har nu utökat den till Firefox för Windows, iOS och Android, enligt Mozilla.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
RLBox fungerar genom att separera tredjepartsbibliotek från en apps inbyggda kod. De första modulerna som den isolerar är Graphite, Hunspell, Ogg, Expat och Woff2, med RLBox som skyddar Firefox mot attacker på sårbarheter i dessa bibliotek.
“Framöver kan vi behandla dessa moduler som opålitlig kod, och – förutsatt att vi gjorde det rätt – till och med en nolldagarssårbarhet i någon av dem borde inte utgöra något hot mot Firefox”, meddelade Mozilla i en blogginlägg.
En aspekt av webbläsarsäkerhet som Mozilla ville ta itu med med RLBox var att Firefox är skrivet med miljontals rader med C- och C++-kod, som är benägna att få minnesrelaterade säkerhetsbrister. Medan nya komponenter skrivs i minnessäkrare Rust, förväntas C/C++-koden finnas kvar i webbläsaren. RLBox kommer att göra det lättare att isolera bitar av kod på ett mer granulärt sätt som inte var möjligt med sandlådor på processnivå.
Firefox kör redan varje webbplats i sin egen process. Hackare kan dock fortfarande kedja ihop två sårbarheter för att till exempel fly sandlådan.
“Det är här RLBox kommer in. I stället för att hissa upp koden i en separat process, kompilerar vi den istället till WebAssembly och kompilerar sedan den WebAssembly till inbyggd kod. Detta resulterar inte i att vi skickar några .wasm-filer i Firefox, eftersom WebAssembly-steget är bara en mellanliggande representation i vår byggprocess”, förklarar Mozilla.
RLBox bör också hjälpa till att reagera på attacker i programvaruförsörjningskedjan och behovet av att skynda ut patchar för utfärdade som avslöjas av uppströmsprojekt.
RLBox sandboxing använder WebAssembly (Wasm), vilket gör att den kan kompilera moduler till WebAssembly och sedan kompilera Wasm till inbyggd kod med wasm2c-kompilatorn, enligt Shravan Narayan, doktorand i datavetenskap vid UC San Diego som leder projektet.
“Genom att kompilera till Wasm före ursprunglig kod får vi sandboxing gratis: Vi kan säkerställa att all minnesåtkomst och kontrollflöde kommer att instrumenteras för att begränsas till modulgränsen”, sa Narayan.
Säkerhet
Hackare använder ny skadlig programvara som gömmer sig mellan block med skräpkod Skurkar säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunder. Här är den perfekta presenten för att skydda alla med en dator. Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de upptäckte. Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer som drabbats av ransomware? Gör inte detta första uppenbara misstag Cloud | Big Data Analytics | Innovation | Teknik och arbete | Samarbete | Utvecklare