Mozilla推出了一项新的沙盒技术RLBox,它是来自零日漏洞威胁的关键组件,由Mozilla与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员共同开发,它将随Firefox95一起发布。根据Mozilla的说法,RLBox使得隔离浏览器的子组件变得更容易、更有效,并为Mozilla提供了比传统沙盒技术更多的优势。沙盒是一种在整个行业广泛使用的技术,在该技术中,浏览器在沙盒进程中运行Web内容,以试图防止单个恶意或易受攻击的站点危及整个浏览器。RLBox旨在对第三方库进行沙箱处理,它由一个基于WebAssembly的沙箱和一个用于改进沙箱库中现有应用程序代码的API组成。RLBox会将沙盒库的内存与应用程序/Firefox的内存隔离开来。RLBox与传统方法的另一个不同之处在于它对性能的影响和内存使用率较低,这也使得对关键浏览器组件进行沙箱化成为可能。该技术的原型之前已分别在Firefox74和Firefox75中提供给Linux和Mac用户。随着Firefox95的推出,RLBox将脱离原型阶段,不再局限于Linux和Mac,RLBox将部署到所有支持的Firefox平台,包括桌面和移动。在即将推出的Firefox95中,RLBox将率先隔离三个不同的模块:Graphite、Hunspell和Ogg。在Firefox96中,另外两个模块:Expat和Woff2也将被隔离。Mozilla工程师BobbyHolley表示:RLBox让我们在几个方面获??得了巨大的好处:它保护用户免受意外错误和供应链攻击,而且其中没有一个零日漏洞会对Firefox构成威胁。威胁还可以减少我们仓促应对的可能性。因此,我们打算在未来继续将RLBox应用到更多的组件中。虽然有些组件不适合这种方法,因为它们过于依赖与程序的其他部分共享内存并且对性能过于敏感,但我们已经确定了其他一些好的候选者。Mozilla还一起更新了漏洞赏金计划。在新方案中,即使隔离库没有漏洞,只要研究人员能够绕过新沙箱,他就会得到报酬,这将有助于进一步加强火狐浏览器的安全性。.RLBox不仅适用于Firefox浏览器,Mozilla也希望其他浏览器和软件项目也能采用这项技术,从而在更广泛的应用中为用户带来更高的安全性。如果不出意外,Firefox95将于今天晚些时候正式推出。本文转自OSCHINA文章标题:Mozilla推出全新沙盒技术RLBox,保护关键组件免受零日漏洞威胁本文地址:https://www.oschina.net/news/172316/mozilla-firefox-邮箱
