Mozilla đang bắt đầu tung ra Firefox 95 với công nghệ hộp cát mới gọi là RLBox để ngăn chặn mã không đáng tin cậy và các lỗ hổng bảo mật khác gây ra “các lỗi ngẫu nhiên cũng như các cuộc tấn công chuỗi cung ứng.”
Được đặt tên là “RLBox” và được thực hiện với sự cộng tác của các nhà nghiên cứu tại Đại học California San Diego và Đại học Texas, cơ chế bảo vệ cải tiến được thiết kế để tăng cường trình duyệt web chống lại các điểm yếu tiềm ẩn trong các thư viện có sẵn dùng để hiển thị âm thanh, video , phông chữ, hình ảnh và nội dung khác.
Để đạt được mục tiêu đó, Mozilla đang kết hợp “hộp cát mịn” vào năm mô-đun, bao gồm công cụ kết xuất phông chữ Graphite, trình kiểm tra chính tả Hunspell, định dạng vùng chứa đa phương tiện Ogg, trình phân tích cú pháp Expat XML và định dạng nén phông chữ web Woff2.
Khung sử dụng WebAssembly, một tiêu chuẩn mở xác định định dạng mã nhị phân di động cho các chương trình thực thi có thể chạy trên các trình duyệt web hiện đại, để cô lập mã có khả năng không an toàn, một phiên bản nguyên mẫu đã được xuất xưởng vào tháng 2 năm 2020 cho người dùng Mac và Linux.
Tất cả các trình duyệt chính được thiết kế để chạy nội dung web trong môi trường hộp cát của riêng chúng như một phương tiện để chống lại các trang web độc hại khai thác lỗ hổng trình duyệt để xâm phạm hệ điều hành cơ bản. Firefox cũng thực hiện Cách ly Trang web, tải từng trang web riêng biệt trong quy trình riêng của nó và do đó, chặn mã tùy ý được lưu trữ trên một trang web giả mạo truy cập thông tin bí mật được lưu trữ trên các trang web khác.
Theo Mozilla, vấn đề với những cách tiếp cận này là các cuộc tấn công thường hoạt động bằng cách xâu chuỗi hai hoặc nhiều lỗ hổng với nhau nhằm mục đích vi phạm quy trình hộp cát chứa trang web đáng ngờ và vượt ra khỏi các hàng rào cách ly, phá hoại hiệu quả các biện pháp bảo mật được áp dụng.
“Việc trang bị thêm tính năng cô lập có thể tốn nhiều công sức, rất dễ xảy ra lỗi bảo mật và đòi hỏi sự chú ý quan trọng đến hiệu suất”, các nhà nghiên cứu lưu ý trong một bài báo hình thành nền tảng cho tính năng này. RLBox “giảm thiểu gánh nặng chuyển đổi Firefox sang sử dụng mã không đáng tin cậy một cách an toàn và hiệu quả.”
RLBox nhằm mục đích tăng cường bảo mật trình duyệt bằng cách hộp cát C / C ++ của bên thứ ba – thư viện ngôn ngữ dễ bị tấn công do can thiệp vào các quy trình trình duyệt khác và hạn chế thiệt hại tiềm ẩn. Nói cách khác, mục tiêu là cô lập các thư viện trong các hộp cát nhẹ sao cho các tác nhân đe dọa không thể khai thác các lỗ hổng trong các thành phần con này để tác động đến phần còn lại của trình duyệt.
“Thay vì lưu trữ mã vào một quy trình riêng biệt, thay vào đó chúng tôi biên dịch nó thành WebAssembly và sau đó biên dịch WebAssembly đó thành mã gốc,” kỹ sư chính của Mozilla, Bobby Holley cho biết. “Việc chuyển đổi đặt ra hai hạn chế chính đối với mã đích: nó không thể chuyển đến các phần không mong muốn của phần còn lại của chương trình và không thể truy cập bộ nhớ bên ngoài một vùng cụ thể,” thêm “ngay cả lỗ hổng zero-day trong bất kỳ [these libraries] sẽ không gây ra mối đe dọa nào cho Firefox. “
Mozilla lưu ý rằng hộp cát đa nền tảng cho Graphite, Hunspell và Ogg đang được vận chuyển trong Firefox 95 trên các phiên bản trình duyệt dành cho máy tính để bàn và thiết bị di động, trong khi Expat và Woff2 dự kiến sẽ được hỗ trợ cho tính năng này trong Firefox 96.
.