Разработчики Firefox 95 хотят обезопасить продукт от недостатков безопасности кода

Последняя версия Mozilla Firefox включает обновление безопасности, которое, как надеется компания, защитит ее браузер от атак на основе кода.

Разработчики Firefox 95 хотят обезопасить продукт от недостатков безопасности кода. Фото: hitesh choudhary, Pexels

Доступные сейчас настольные и мобильные версии Firefox 95 будут поставляться с технологией RLBox, которая призвана предотвратить и ограничить любой ущерб, вызванный недостатками или ошибками безопасности кода.

В компании утверждает, что «новый инструмент песочницы» сделает Firefox самым безопасным браузером.

RLBox был разработан специалистами Mozilla совместно с исследователями из Калифорнийского университета в Сан-Диего и Техасского университета.

Инструмент использует WebAssembly для изоляции потенциально ошибочного кода, гарантируя, что никакие возможные приложения со зловредами или ошибками не будут запущены или выполнены без ведома пользователя.

В Mozilla отмечают, что, хотя все основные браузеры, включая Firefox, запускают веб-контент в собственном изолированном процессе, хакеры часто объединяют две уязвимости, чтобы преодолеть их: одну для компрометации изолированного процесса, содержащего вредоносный сайт, и другую для выхода из песочницы.

Раньше это означало, что нужно вынести подкомпоненты браузера в отдельный процесс, но это имеет некоторые ограничения, и здесь на помощь приходит RLBox.

Из сообщения компании:

«Вместо того, чтобы переносить код в отдельный процесс, мы вместо этого компилируем его в WebAssembly, а затем компилируем эту WebAssembly в собственный код»

В Mozilla заявляют, что работают над тем, чтобы максимально расширить возможности RLBox, в том числе для других браузеров. Компания отправила прототип пользователям Mac и Linux для тестирования в 2020 году, продемонстрировав, что он может эффективно работать с различными операционными системами.

Из сообщения компании:

«RLBox - это большая победа для нас по нескольким направлениям: он защищает наших пользователей от случайных дефектов, а также от атак на цепочку поставок, а также снижает необходимость в борьбе, когда такие проблемы раскрываются в восходящем направлении. Эта технология открывает новые возможности, выходящие за рамки того, что было возможно с традиционной песочницей, основанной на процессах, и мы с нетерпением ждем расширения ее использования и (будем надеяться), что она будет принята в других браузерах и программных проектах»

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме