研究人员开发了可改善Firefox安全性的框架

 
来自加利福尼亚大学圣地亚哥分校，德克萨斯大学奥斯汀分校，斯坦福大学和Mozilla的研究人员已经开发了一种新的框架来提高Web浏览器的安全性。名为RLBox的框架已集成到Firefox中，以补充Firefox的其他增强安全性的工作。
RLBox通过将容易受到攻击的第三方库与其他浏览器分离开来，以包含潜在的损害，从而提高了浏览器的安全性-一种称为沙盒的做法。该研究将发表在USENIX安全研讨会的议事录中。
像Firefox这样的浏览器都依赖第三方库来支持媒体解码(例如，渲染图像或播放音频文件)以及许多其他功能。这些库通常是用低级编程语言(如C)编写的，并且针对性能进行了高度优化。
加州大学圣地亚哥分校计算机科学与工程系的助理教授Deian Stefan指出：“不幸的是，C代码中的错误通常是安全漏洞，攻击者确实善于利用这些安全漏洞。”
RLBox允许浏览器继续使用现成的，高度优化的库，而不必担心这些库的安全性影响。首席博士说：“通过隔离库，我们可以确保攻击者不能利用这些库中的错误来破坏浏览器的其余部分。”该项目的学生Shravan Narayan。
RLBox的关键要素是底层的沙箱机制，该机制可防止越野车库干扰浏览器的其余部分。该研究调查了各种具有不同权衡因素的沙盒技术。但是，该团队最终与位于旧金山的Fastly的工程团队合作，采用了基于WebAssembly的沙盒技术，WebAssembly是一种专为沙盒设计的新型中间语言。该团队认为，WebAssembly将成为更广泛的未来安全浏览器和安全系统的关键部分。最近在Mozilla Hacks的博客文章中详细介绍了WebAssembly沙箱工作。
“不幸的是，将库放在沙箱中是不够的，您需要仔细检查沙箱中的所有数据，否则，高级攻击者可能会诱使浏览器做错事并使沙箱工作变得无用，”斯特凡说。 RLBox通过标记跨越边界的所有内容并确保在使用所有经过标记的数据之前对其进行验证，从而消除了此类攻击。
RLBox已集成到Mozilla的Firefox中，并将在Firefox 74和Firefox 75中分别提供给Linux用户和Firefox 75中的Mac用户，并计划在其他平台上实施。
Mozilla的首席工程师Bobby Holley说：“这很重要。” “安全是我们的重中之重，在C / C ++中犯错误很容易。我们正在Rust中编写许多新代码，但是Firefox是一个庞大的代码库，包含数百万行C / C ++，不会很快消失。RLBox可以以一种粒度来快速，轻松地隔离现有的代码块，这是当今浏览器中使用的进程级沙箱所无法实现的。”
在研究中，研究小组使用RLBox隔离了六个库。首先，Firefox将附带其沙盒Graphite字体整形库。 Mozilla计划在将来更广泛地应用沙盒，最终使数百万用户的浏览器更加安全。