12 月 6 日,Mozilla 通过其 Mozilla Hacks 博客宣布,它计划在 Firefox 95 中发布一种名为 RLBox 的“新型沙盒技术”,该技术是与加州大学圣地亚哥分校和德克萨斯大学的研究人员一起开发的。Mozilla 表示,RLBox 能够更轻松有效地隔离浏览器的子组件,并为 Mozilla 提供比传统沙盒技术更多的优势。
沙盒是业界广泛使用的安全方法,浏览器在沙盒进程中运行 web 内容,试图阻止恶意或有 bug 的网站危及整个浏览器。
RLBox 旨在对第三方库进行沙盒处理,它由一个基于 WebAssembly 的沙盒和一个 API 组成,用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于,它对性能的影响和内存使用更低,这也使得它有可能对关键的浏览器组件进行沙盒处理。
GitHub 上的文档对 RLBox 有更详细的解释。在 Mozilla Hacks 上也有这样一篇博文,概述了 RLBox 的工作:
https://plsyssec.github.io/rlbox_sandboxing_api/sphinx/
该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。在 Firefox 95 中,将被部署至所有支持的 Firefox 平台上,包括桌面端和移动端。同时在 Firefox 95 中,RLBox 将率先用于隔离三个不同的模块:Graphite、Hunspell 和 Ogg,在 Firefox 96 中,另外两个模块:Expat 和 Woff2 也将被隔离。
Mozilla 工程师 Bobby Holley 表示:“RLBox 让我们在几个方面都能获得巨大的好处:它能够保护用户不受意外缺陷和供应链攻击的影响,而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁,也能减少我们仓促应付的情况发生。因此,我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存,以及对性能太敏感,并不适合这种方法,但我们已经确定了其他一些良好的候选者。”
Mozilla 还一同更新了漏洞悬赏计划,在新的计划中,即使隔离库中没有漏洞,但只要研究人员能够绕过新的沙盒就能获得报酬,这也有助于进一步加强 Firefox 浏览器的安全性。
同时,RLBox 并非只能用于 Firefox 浏览器,Mozilla 还希望其他浏览器和软件项目也能够采用这项技术,从而为用户在更广泛的应用领域带来更高的安全性。
Firefox 95 下载地址:
领取专属 10元无门槛券
私享最新 技术干货