Mozilla 今天通過其 Mozilla Hacks 博客對外宣布，他們計劃為 Firefox 瀏覽器新增一個名為 RLBox 的新型沙盒技術(shù)，該技術(shù)是 Mozilla 與加州大學(xué)圣地亞哥分校(UCSD)和德克薩斯大學(xué)(UT)的研究人員所共同開發(fā)的，并將隨 Firefox 95 一同推出。Mozilla 表示，RLBox 能夠更輕松有效地隔離瀏覽器的子組件，并為 Mozilla 提供了比傳統(tǒng)沙盒技術(shù)更多的優(yōu)勢。

沙盒是整個行業(yè)廣泛使用的技術(shù)，瀏覽器可以在沙盒進(jìn)程中運(yùn)行 Web 內(nèi)容，以嘗試阻止惡意或有漏洞的單一站點(diǎn)危及整個瀏覽器。

RLBox 旨在對第三方庫進(jìn)行沙盒處理，它由一個基于 WebAssembly 的沙盒和一個 API 組成，用于在沙盒庫內(nèi)改進(jìn)現(xiàn)有的應(yīng)用程序代碼。RLBox 將把沙盒庫的內(nèi)存與應(yīng)用程序/Firefox 的內(nèi)存隔離開來。RLBox 與傳統(tǒng)方法的另一個不同之處在于，它對性能的影響和內(nèi)存使用更低，這也使得它有可能對關(guān)鍵的瀏覽器組件進(jìn)行沙盒處理。

該技術(shù)的原型此前已在 Firefox 74 和 Firefox 75 中分別提供給了 Linux 和 Mac 用戶。隨著 Firefox 95 的推出，RLBox 將脫離原型階段并且不再局限于 Linux 和 Mac，RLBox 后續(xù)將被部署至所有支持的 Firefox 平臺上，包括桌面端和移動端。在即將推出的 Firefox 95 中，RLBox 將率先用于隔離三個不同的模塊：Graphite、Hunspell 和 Ogg。在 Firefox 96 中，另外兩個模塊：Expat 和 Woff2 也將被隔離。

Mozilla 工程師 Bobby Holley 表示：

• RLBox 讓我們在幾個方面都能獲得巨大的好處：它能夠保護(hù)用戶不受意外缺陷和供應(yīng)鏈攻擊的影響，而且它們中的任何一個零日漏洞也不會對 Firefox 構(gòu)成威脅，也能減少我們倉促應(yīng)付的情況發(fā)生。因此，我們打算在未來將 RLBox 繼續(xù)應(yīng)用于更多的組件。雖然有些組件由于太依賴與程序的其他部分共享內(nèi)存，以及對性能太敏感，并不適合這種方法，但我們已經(jīng)確定了其他一些良好的候選者。

Mozilla 還一同更新了漏洞懸賞計劃，在新的計劃中，即使隔離庫中沒有漏洞，但只要研究人員能夠繞過新的沙盒就能獲得報酬，這也有助于進(jìn)一步加強(qiáng) Firefox 瀏覽器的安全性。

RLBox 并非只能用于 Firefox 瀏覽器，Mozilla 還希望其他瀏覽器和軟件項(xiàng)目也能夠采用這項(xiàng)技術(shù)，從而為用戶在更廣泛的應(yīng)用領(lǐng)域帶來更高的安全性。如無意外，F(xiàn)irefox 95 將于今天晚些時候正式推出。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Mozilla 推出全新沙盒技術(shù) RLBox，關(guān)鍵組件免受零日漏洞威脅

本文地址：https://www.oschina.net/news/172316/mozilla-firefox-rlbox