Nella versione 95, che è stata appena rilasciata, gli sviluppatori di Firefox hanno posto un’enfasi speciale sulla sicurezza del browser web. La nuova versione chiude un totale di 13 vulnerabilità, alcune delle quali sono classificate “alte”. Inoltre integra una nuova sandbox chiamata “RLBox”, la cui funzione di protezione dovrebbe andare oltre le capacità della classica tecnologia sandbox per l’isolamento dei processi. Gli sviluppatori hanno anche protetto la versione 91.4.0 con supporto a lungo termine, Firefox ESR.
Gli sviluppatori sono particolarmente orgogliosi della tecnologia sandbox nota come RLBox, che ora è integrata e attivata nel browser su tutte le piattaforme. È il risultato di una collaborazione con ricercatori dell’Università della California San Diego e dell’Università del Texas.
La classica sandbox del browser isola i siti web o le singole funzioni l’uno dall’altro come processi. Ad esempio, i programmatori citano codec audio e video, che vengono eseguiti in processi separati in Firefox. Tuttavia, questo ha diversi inconvenienti. Il codice deve essere scollegato ed eseguito in modo asincrono, il che richiede tempo e può rallentare. Inoltre, i requisiti di memoria aumentano. Gli sviluppatori non credono che il parser XML in questo modello possa essere isolato da altre parti del programma.
romanzo di sabbia
Quindi RLBox usa un trucco per tradurre prima il codice del programma nel WebAssembly standard. WebAssembly fornisce intrinsecamente alcune funzionalità di sicurezza, che vengono integrate automaticamente (sfondo per i lettori interessati: WebAssembly – Applicazioni Web in Fast Track,). Solo allora nascerai Codice nativo, spiega gli sviluppatori di Firefox. Questo in realtà accade nel processo di compilazione durante la compilazione di Firefox sui server Mozilla. Di conseguenza, il codice binario generato in questo modo non può saltare in posizioni impreviste nel programma e non può accedere ad aree di memoria oltre determinati limiti.
Questa modifica rende possibile eseguire codice attendibile (privato) e non attendibile (terze parti) nella stessa area di memoria e quindi all’interno di un processo. Non sono necessarie modifiche sostanziali al codice del programma. I programmatori dovrebbero verificare la plausibilità dei valori restituiti dalla sandbox, poiché potrebbero essere stati compilati con intenti dannosi. spiega file Sviluppatore Firefox in un post sul blog.
Utilizzando questa sandbox RLBox a grana fine, il browser Web isola prima cinque moduli di terze parti: Graphite, Hunspell, Ogg, Expat e Woff2. Altre unità verranno aggiunte pezzo per pezzo.
Diversi buchi di sicurezza sono stati riempiti
Con la versione 95, gli sviluppatori di Mozilla sono stati in grado di chiudere 6 vulnerabilità “alte”, 5 vulnerabilità classificate come medie e 2 vulnerabilità con basso rischio per la sicurezza. Le voci di Bugzilla sono ancora bloccate. Tuttavia, a causa delle vulnerabilità, gli aggressori avrebbero potuto emettere un forte segnale acustico Descrizione del messaggio di sicurezza di Firefox Contrabbando di codice dannoso, divulgazione di informazioni sensibili o esecuzione di attacchi di spoofing.
ESR 91.4.0 corregge solo le vulnerabilità. Di questi, 5 sono classificati come “alto”, 3 sono “medi” e 2 sono solo una minaccia minore. Messaggio di sicurezza per gli sviluppatori di Firefox Finora solo brevi informazioni.
Nel Note di rilascio su Firefox 95 I programmatori elencano ulteriori miglioramenti. Ad esempio, in Microsoft Store è disponibile la disponibilità del browser per Windows 10 e 11 – ciò consente di utilizzare il browser in modalità Windows S, dove è consentito solo avviare applicazioni dallo Store. Per proteggere meglio gli utenti dagli attacchi del canale laterale come Spectre, gli sviluppatori hanno attivato l’isolamento del sito per tutti gli utenti. L’elenco include anche altre modifiche minori che migliorano e velocizzano il comportamento del browser.
Le nuove versioni sono disponibili su Pagina di download del progetto Firefox Pronto. Gli utenti possono verificare se l’aggiornamento automatico ha già portato l’installazione locale in uno stato sicuro facendo clic sul menu “Hamburger” in alto a destra e selezionando “Aiuto” – “Informazioni su Firefox”. Se necessario, questo avvia il processo di aggiornamento e riavvia il browser premendo un pulsante.
Guarda anche:
- Firefox: scarica in modo rapido e sicuro da heise.de
(DMK)
“Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore.”