Mozilla está lanzando Firefox 95 con una nueva tecnología de espacio aislado llamada RLBox, que evita que el código que no es de confianza y otras vulnerabilidades de seguridad causen «defectos aleatorios y ataques a la cadena de suministro».

El mecanismo de protección mejorado, llamado «RLBox» e implementado en colaboración con investigadores de la Universidad de California, San Diego y la Universidad de Texas, está diseñado para proteger el navegador web de posibles vulnerabilidades en bibliotecas comúnmente disponibles que se utilizan para reproducir audio y video. , fuentes, imágenes y otros contenidos.

Con este fin, Mozilla integra «sandboxing de grano fino» en cinco módulos, incluido su módulo de representación de fuentes Graphite, el corrector ortográfico Hunspell, el formato contenedor de medios Ogg, el analizador XML Expat y el formato de compresión de fuentes web Woff2.

El marco utiliza WebAssembly, un estándar abierto que define un formato de código binario portátil para programas ejecutables que pueden ejecutarse en navegadores web modernos, para aislar código potencialmente peligroso, una versión prototipo del cual se envió en febrero de 2020 a usuarios de Mac y Linux.

Todos los navegadores principales están diseñados para ejecutar contenido web en su propio entorno aislado como un medio para evitar que los sitios web maliciosos aprovechen las vulnerabilidades del navegador para comprometer el sistema operativo subyacente. Firefox también implementa Site Isolation, que carga cada página web por separado en su propio proceso y, como resultado, bloquea cualquier código alojado en el sitio fraudulento para que no acceda a información confidencial almacenada en otros sitios.

El problema con estos enfoques, según Mozilla, es que los ataques a menudo funcionan juntos al vincular dos o más errores que tienen como objetivo romper un proceso aislado que contiene un sitio sospechoso y romper las barreras de aislamiento, socavando efectivamente las medidas de seguridad establecidas.

«El equipo de aislamiento adicional puede ser laborioso, muy propenso a fallas de seguridad y requiere una atención crítica al rendimiento», dijeron los investigadores en un documento que formó la base de la función. RLBox «minimiza la carga de convertir Firefox para usar código que no es de confianza de manera segura y eficiente».

RLBox tiene como objetivo aumentar la seguridad del navegador mediante la protección de bibliotecas C / C ++ de terceros que son vulnerables a los ataques que interfieren con otros procesos del navegador y reducen el daño potencial. En otras palabras, el objetivo es aislar las bibliotecas en cuarentenas ligeras para que los actores de amenazas no puedan explotar las vulnerabilidades en estos subcomponentes para afectar al resto del navegador.

«En lugar de convertir el código en un proceso separado, lo compilamos en WebAssembly y luego compilamos WebAssembly en código nativo», dijo el ingeniero jefe de Mozilla, Bobby Holley. «La transformación impone dos restricciones clave en el código de destino: no puede saltar a partes inesperadas del resto del programa y no puede acceder a la memoria fuera del área especificada», agrega. [these libraries] no debería representar una amenaza para Firefox «.

Mozilla señaló que el sandboxing multiplataforma para Graphite, Hunspell y Ogg está disponible en Firefox 95 en las versiones de escritorio y móviles del navegador, mientras que Expat y Woff2 deberían obtener soporte para esta función en Firefox 96.