Mozilla sta avviando il rilascio di Firefox 95, nuova major release che introduce una nuova tecnologia di sandboxing chiamata RLBox che impedisce al codice non affidabile e ad altre vulnerabilità di sicurezza di causare "difetti accidentali e attacchi alla catena di fornitura".
RLBox è stato sviluppata in collaborazione con i ricercatori dell'Università della California, San Diego, dell'Università del Texas, di Austin e della Stanford University e consente di convertire in modo rapido ed efficiente i componenti di Firefox esistenti per l'esecuzione all'interno di una sandbox di WebAssembly.
Questo meccanismo di protezione è progettato per migliorare la sicurezza di Firefox contro potenziali punti deboli nelle librerie standard utilizzate per il rendering di audio, video, caratteri, immagini e altri contenuti.
Mozilla ha incorporato tale tecnologia in cinque moduli fra cui il motore di rendering dei caratteri Graphite, il correttore ortografico Hunspell, il formato contenitore multimediale Ogg, il parser XML Expat e il formato di compressione dei caratteri Web Woff2.
RLBox va ad aumentare la sicurezza di Firefox andando ad effettuare il sandboxing di librerie in linguaggio C/C++ di terze parti che sono vulnerabili agli attacchi che interferiscono con altri processi del browser e limitare i potenziali danni. In pratica si isolano le librerie per impedire ai malintenzionati di sfruttare le vulnerabilità in questi sottocomponenti per avere un impatto sul resto del browser.
Maggiori informazioni su RLBox
- RLBox Sandboxing API - https://plsyssec.github.io/rlbox_sandboxing_api/sphinx/
- rlbox_sandboxing_api su GitHub - https://github.com/plsyssec/rlbox_sandboxing_api/
- WebAssembly and Back Again: Fine-Grained Sandboxing in Firefox 95 - https://hacks.mozilla.org/2021/12/webassembly-and-back-again-fine-grained-sandboxing-in-firefox-95/
Leggi il contenuto originale su Marco's Box