Mozilla voorziet Firefox 95 van nieuwe sandboxtechnologie RLBox

[Captain Kirk]

Mozilla lanceert morgen Firefox 95 die van een nieuwe sandboxtechnologie genaamd RLBox is voorzien die de browser beter tegen aanvallen moet beschermen. Alle grote browsers maken gebruik van een eigen sandboxproces om webcontent in te laden. Dit moet in theorie voorkomen dat een aanvaller de computer via een kwetsbaarheid in de browser kan overnemen. Er is namelijk een tweede kwetsbaarheid vereist om uit de sandbox te breken.

Firefox voor de desktop isoleert daarnaast elke website in een eigen proces om zo te voorkomen dat de ene site toegang tot de andere zou kunnen krijgen. In de praktijk blijkt dat aanvallers meerdere kwetsbaarheden combineren. Zo wordt er eerst een beveiligingslek gebruikt om het gesandboxte proces te compromitteren waarin de malafide website draait, gevolgd door een tweede kwetsbaarheid om uit de sandbox te ontsnappen.

Volgens Mozillas Bobby Holley zijn er daarom meerdere beveiligingslagen nodig om gebruikers te beschermen. De Firefox-ontwikkelaar ziet een nieuwe sandboxtechnologie genaamd RLBox, ontwikkeld in samenwerking met onderzoekers van de University of California San Diego en de University of Texas, als oplossing. RLBox zorgt voor het isoleren van subonderdelen in een eigen proces om de browser veiliger te maken.

In plaats van de code in een geheel eigen proces te laden, wat nadelige gevolgen heeft voor prestaties en geheugengebruik, maakt RLBox gebruik van WebAssembly om potentieel buggy code te isoleren. RLBox compileert de code van het subonderdeel, zoals een audio- of videocodec, in WebAssembly, waarna de WebAssembly in native code wordt gecompileerd. Holley noemt dit een grote overwinning, omdat het gebruikers onder andere tegen supply-chain-aanvallen via dergelijke codecs moet beschermen.

De Mozillamedewerker erkent dat RLBox niet voor alle subonderdelen van Firefox werkt, maar er verschillende onderdelen zijn waar het prima inzetbaar is. Daarnaast hoopt Holley dat ook andere browsers de technologie gaan gebruiken. Vooralsnog wordt RLBox binnen Firefox 95 gebruikt om vijf verschillende modules te isoleren, namelijk Graphite, Hunspell, Ogg, Expat en Woff2. De nieuwste Firefoxversie is vanaf morgen te downloaden.

 

bron: https://www.security.nl

[Captain Kirk]

Mozilla heeft een nieuwe versie van Firefox gelanceerd die van een nieuwe sandbox is voorzien en nu voor alle gebruikers bescherming tegen Spectre-achtige aanvallen ingeschakeld heeft staan. Daarnaast zijn meerdere kwetsbaarheden in de browser verholpen.

De grootste aanpassing in de nieuwe Firefox-versie is de toevoeging van RLBox. Dit is een nieuwe sandboxtechnologie die Firefox moet beschermen tegen kwetsbaarheden in third-party libraries waar de browser gebruik van maakt, zoals audio- en videocodecs. De sandbox zorg ervoor dat het niet mogelijk is om via een kwetsbaarheid in een dergelijke library de volledige browser te compromitteren zoals voorheen wel zou kunnen.

Verder heeft Mozilla besloten om voor alle gebruikers Site Isolation in te schakelen. Dit is een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen.

Daarnaast zijn er meerdere kwetsbaarheden in Firefox verholpen die spoofingaanvallen en cross-site scripting mogelijk maken. Geen van de opgeloste beveiligingslekken is als kritiek aangemerkt, hoewel meerdere kwetsbaarheden kunnen leiden tot crashes die volgens Mozilla met genoeg moeite tot het uitvoeren van willekeurige code kunnen leiden. Firefox 95 is te downloaden via de automatische updatefunctie en Mozilla.org.

 

bron: https://www.security.nl