A biztonságra gyúr az új Firefox
Újabb főverziójához érkezett a Firefox, amely egy vadiúj sandboxing technológiával igyekszik elejét venni a biztonsági hibákból eredő problémáknak.
A tegnap megjelent 95-ös számozású kiadás tehát egy új biztonsági funkciót vezet be, amelynek célja, hogy korlátozza a böngésző kódjában található esetleges biztonsági rések okozta kockázatot. Az RLBox nevű funkciót a San Diegói Kaliforniai Egyetem és a Texasi Egyetem kutatóinak segítségével fejlesztették ki.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Az RLBox tehát alapvetően egy sandboxing technológia, amely hatékonyan képes elszigetelni a böngésző kódját a különféle weboldalakétól, így a böngészős biztonsági rések lényegesen kisebb kockázatot jelentenek a rendszer, illetve a felhasználó számára. A sandboxing széles körben alkalmazott biztonságnövelő az iparágban, a böngészők többsége már jó ideje alkalmazza valamilyen formában a technológiát, megakadályozva, hogy a rosszindulatú vagy rosszul megírt webhelyek veszélyeztessék a felhasználót.
Az RLBox azonban eltér a hagyományos megközelítéstől, melynek hála erőforrásigénye alacsonyabb, mely elsősorban a böngészők szempontjából kritikus memóriahasználatban mutatkozik meg. Az RLBox lehetővé teszi a böngésző kritikus alkomponenseinek különálló sandboxolását, így például a beépített helyesírás-ellenőrző, vagy bármilyen más komponens is könnyen elszeparálható. A kiválasztott elemek sandboxolt futtatásával úgy korlátozható, hogy a nem megbízhatóként kezelt kód pontosan milyen adatokhoz férhet hozzá, hogy azt nem szükséges külön folyamatként futtatni.
A 95-ös kiadás öt modult különít el: a Graphite betűkészlet-rendező motort, a magyar fejlesztésű Hunspell helyesírás-ellenőrzőt, az Ogg multimédia-konténer formátumot, az Expat XML-parsert, valamint a Woff2 webes betűtípus tömörítési formátumot. A Mozilla szerint ez azt jelenti, hogy ha hibákat vagy sebezhetőségeket fedeznek fel ezen alkomponensek valamelyikében, a fejlesztőknek nem kell kutyafuttában betömniük a réseket. "Így még egy zero-day sebezhetőség sem jelenthet azonnali veszélyt a Firefox felhasználóira" - állítja a Mozilla.
A cég ugyanakkor elismeri, hogy jelen formájában az RLBox egy nem mindenre kiterjedő megoldás, amely így nem fog minden komponensnél működni, például a különösen teljesítményérzékeny böngészőkomponensek esetében. A Mozilla a jövőben a Firefox több összetevőjére is kiterjesztené az új sanboxingot, miközben reméli, hogy hamarosan más böngészők és szoftverek is bevezetik a technológiát. Ezzel párhuzamosan a cég frissítette bug bounty programját, melynek értelmében mostantól azért is fizetni fog a kutatóknak, ha képesek megkerülni az RLBoxot.
Mindezek mellett még több hibajavítást is elvégeztek a készítők, illetve még számos kisebb módosítás is bekerült a Firefox 95-ös verziójába, melynek részleteit a kiadási jegyzékben taglalja a Mozilla.