Firefox dobija zaštitu od grešaka u sopstvenom kodu

Vesti, 07.12.2021, 09:00 AM

Mozilla uvodi novu funkciju za koju tvrdi da će Firefox učiniti najbezbednijim veb pregledačem koji je dostupan korisnicima. Nova funkcija je dizajnirana da ograniči štetu do koje mogu dovesti greške i bezbednosne ranjivosti u kodu Firefoxa.

Funkcija, nazvana RLBox, koja je dostupna u Firefox 95, razvijena je u saradnji sa istraživačima sa Univerziteta u San Dijegu i Univerziteta Teksas, a prvobitno je objavljena kao prototip prošle godine. Ona se nalazi i u desktop i u mobilnoj verziji Firefoxa.

Svi savremeni pretraživači koriste “sandboxing” za zaštitu korisnika od zlonamernog koda. Problem je u tome što mnogi od najnaprednijih exploita spajaju dve ranjivosti kako bi se zaobišle te zaštite.

RLBox je takođe tehnologija sandboxinga, što znači da je u stanju da izoluje kod tako da bilo koji bag u kodu ne može da naškodi celokupnom sistemu. Sandboxing je široko korišćen bezbednosni metod u čitavoj industriji, a veb sadržaj se već pokreće u zaštićenim procesima kako bi se sprečili zlonamerni sajtovi ili sajtovi sa greškama da ugroze pretraživač.

RLBox se razlikuje od ovog tradicionalnog pristupa, i ne utiče na isti način na performanse i memoriju. Ovo omogućava da se kritične komponente pretraživača, kao što je provera pravopisa, stave u sandbox, što RLBoxu omogućava da ih tretira kao nepouzdani kod. Ovo postavlja ograničenja na to kako kod može da se pokreće ili kojoj memoriji može da pristupi.

Od verzije 95, Firefox izoluje pet modula, među kojima su mehanizam za prikazivanje fontova Graphite, Hunspell za proveru pravopisa, Ogg kontejner multimedijalnog formata, Expat i Woff2. Mozilla kaže da to znači da ako se otkriju greške ili ranjivosti u jednoj od ovih komponenti, Firefoxov tim neće morati da se trudi da ih spreči da ugroze ceo pretraživač. „Čak ni ranjivost nultog dana u bilo kojoj od njih ne bi trebalo da predstavlja pretnju za Firefox“, kaže Mozilla.

Mozilla priznaje da to nije univerzalno rešenje i da pristup neće funkcionisati za sve komponente Firefoxa. Ali Mozilla kaže da se nada da će drugi pretraživači i softverski projekti implementirati ovu tehnologiju i da namerava da je koristi sa više Firefoxovih komponenti u budućnosti. Mozilla je takođe ažurirala svoj program za nagrađivanje grešaka i sada će platiti istraživačima ako budu mogli da zaobiđu nove sandboxove.