使用称为WebAssembly的工具来保护Web浏览器的一种强大的新方法,就是在Firefox浏览器中获得其第一个实际应用程序。该方法由德克萨斯大学奥斯汀分校,加利福尼亚大学圣地亚哥分校,斯坦福大学和Mozilla的研究人员开发,该方法将某些浏览器代码转移到“安全沙箱”中,以防止恶意代码接管用户的计算机。
新方法现在是用于Linux操作系统的Firefox浏览器测试版本的一部分,并且可能在几个月后在Windows和MacOS平台上可用。
Web浏览器使用代码库执行常见的活动-例如渲染包括照片,视频和音频的媒体文件-但是这些库通常具有未报告的错误,黑客可以利用这些错误来控制计算机。
UT Austin计算机科学教授,相关论文的合著者Hovav Shacham说:“现代浏览器是安全的噩梦。”该论文的合著者之一将在八月份举行的计算机安全会议上发表演讲。“它们具有可想象的每一个功能。功能越多,漏洞越多。漏洞越多,攻击者入侵他人设备的机会就越大。攻击者喜欢攻击浏览器,他们真正了解如何做到这一点。 。”
为了防止黑客利用这些漏洞,研究人员正在采用WebAssembly,这是一种安全机制,最初旨在加快在浏览器中运行的Web应用程序的速度,同时将这些应用程序保留在“安全沙箱”中,以防止恶意代码接管用户的计算机。利用WebAssembly的应用程序包括执行音乐流,视频编辑,加密和图像识别的游戏和应用程序。在研究人员的新方法中,浏览器自身的某些内部组件(负责媒体文件解码的组件)将转移到WebAssembly沙箱中。
研究人员的方法称为RLBox框架,已在8月于USENIX安全研讨会上发表的论文(“在Firefox渲染器中改进细颗粒隔离”)中进行了描述。论文的第一作者是加州大学圣地亚哥分校计算机科学与工程系研究生Shravan Narayan,主要作者是加州大学圣地亚哥分校助理教授Deian Stefan。
新方法最初将应用于Linux操作系统的Firefox测试版本,并且将仅保护用于某些字体的一个渲染库。假设最初的测试进行顺利,团队希望该方法将逐步扩展,以包括所有主要操作系统上稳定,完整发行版的浏览器。他们还预计未来的扩展将包括渲染媒体文件中涉及的其他组件。
Shacham说:“如果初步测试顺利,那么Firefox可以将其应用于浏览器支持的所有图像,视频和音频格式。”“希望是,到了某个时候,所有这些库中的错误对于黑客Firefox都变得毫无用处。如果发生这种情况,那么用户安全性将得到极大的改善。”
随着时间的流逝,随着浏览器的更多部分得到这些改进并将其并入更多操作系统的版本中,它可以提高全球数百万用户的安全性。台式机上的Firefox浏览器每月大约有2.5亿活跃用户。
Mozilla的Firefox CTO Eric Rescorla说:“有缺陷发生。”“为了确保我们的用户在互联网上的安全,我们需要确保一个编程错误不能轻易破坏浏览器。迄今为止,业界对该问题的处理方法非常粗糙,这限制了其有效性。我们非常兴奋。为我们的用户带来RLBox提供的全新隔离级别。”
论文的其他共同作者是加州大学圣地亚哥分校的研究生Craig Disselkoen。Mozilla工程师Nathan Froyd和Eric Rahm;斯坦福大学研究助理Tal Garfinkel;加州大学圣地亚哥分校计算机科学与工程系教授Sorin Lerner。
