研究人員開發(fā)了提高Firefox安全性的框架

來自加州大學(xué)圣地亞哥分校，德克薩斯大學(xué)奧斯汀分校，斯坦福大學(xué)和Mozilla的研究人員開發(fā)了一個(gè)新的框架來提高網(wǎng)絡(luò)瀏覽器的安全性.. 該框架被稱為RLBox，已被集成到Fire fox中，以補(bǔ)充Fire fox其他安全方面的努力。

RLBox通過將易受攻擊的第三方庫(kù)與瀏覽器的其他部分分離以包含潛在的損壞來提高瀏覽器的安全性-這種做法稱為沙盒。 這項(xiàng)研究將發(fā)表在USEN IX安全研討會(huì)的會(huì)議記錄中。

瀏覽器，如Fire fox，依賴于第三方庫(kù)來支持媒體解碼（例如，渲染圖像或播放音頻文件）等許多其他功能。 這些庫(kù)通常是用低級(jí)編程語言編寫的，比如C，并且對(duì)性能進(jìn)行了高度優(yōu)化。

加州大學(xué)圣地亞哥分校計(jì)算機(jī)科學(xué)與工程系的助理教授迪安·斯特凡(Deian Stefan)指出：“不幸的是，C代碼中的錯(cuò)誤往往是安全漏洞——攻擊者真正擅長(zhǎng)利用的安全漏洞?！?/p>

RLBox允許瀏覽器繼續(xù)使用現(xiàn)成的、高度調(diào)優(yōu)的庫(kù)，而不必?fù)?dān)心這些庫(kù)的安全影響。 “通過隔離庫(kù)，我們可以確保攻擊者不能利用這些庫(kù)中的錯(cuò)誤來破壞瀏覽器的其他部分。” D.項(xiàng)目的學(xué)生，Shravan Narayan。

RLBox的一個(gè)關(guān)鍵部分是底層的沙盒機(jī)制，它可以防止bug庫(kù)干擾瀏覽器的其他部分。 該研究研究了不同權(quán)衡的各種沙箱技術(shù).. 但該團(tuán)隊(duì)最終與總部位于舊金山的工程團(tuán)隊(duì)合作，采用了一種基于WebCompass的沙盒技術(shù)，這是一種新的中間語言，設(shè)計(jì)時(shí)考慮到了沙盒。 該團(tuán)隊(duì)認(rèn)為，Web組裝將是未來安全瀏覽器和更廣泛的安全系統(tǒng)的關(guān)鍵部分。 最近的一篇MozillaHack博客文章詳細(xì)介紹了網(wǎng)絡(luò)組裝沙盒的工作。

“不幸的是，把一個(gè)庫(kù)放在沙箱里是不夠的，你需要仔細(xì)檢查沙箱里的所有數(shù)據(jù)-否則，一個(gè)復(fù)雜的攻擊者可以欺騙瀏覽器做錯(cuò)誤的事情，并使沙箱努力無用，”斯特凡說。 RLBox消除了這些類型的攻擊，方法是標(biāo)記所有跨越邊界的數(shù)據(jù)，并確保所有這些標(biāo)記數(shù)據(jù)在使用之前都得到驗(yàn)證。

已將RLBox集成到Mozilla的Fire fox中，并將在Fire fox74中向Linux用戶和Fire fox75中的Mac用戶發(fā)送，計(jì)劃在其他平臺(tái)實(shí)施。

莫茲利亞的首席工程師鮑比·霍利說：“這是件大事。 安全是我們的首要任務(wù)，在C/C中犯危險(xiǎn)的錯(cuò)誤太容易了。 我們?cè)赗ust中編寫了很多新代碼，但Fire fox是一個(gè)龐大的代碼庫(kù)，有數(shù)百萬行C/C，而且不會(huì)很快消失。 rL Box使得在當(dāng)前瀏覽器中使用的進(jìn)程級(jí)沙盒無法實(shí)現(xiàn)的粒度上快速、容易地隔離現(xiàn)有的代碼塊。

在研究中，團(tuán)隊(duì)使用RLBox隔離了半打庫(kù)。 首先，火狐將與他們的沙盒石墨字體塑造庫(kù)。 莫茲利亞計(jì)劃在未來更廣泛地應(yīng)用沙盒，最終使數(shù)百萬用戶的瀏覽器更加安全。