Firefox的最新安全功能旨在保护自己免受错误代码的侵害

火狐95，Mozilla的浏览器版本推出从今天开始的最新版本，引入了被设计用来限制的错误和安全漏洞在其代码可能导致的损害的新安全功能，Mozilla的宣布。这个名为RLBox的功能是在加州大学圣地亚哥分校和德克萨斯大学的研究人员的帮助下开发的，它最初是去年作为原型发布的。Firefox的桌面版和移动版都将提供此功能。

RLBox的核心是一种沙盒技术，这意味着它能够有效地隔离代码，使其可能包含的任何安全漏洞都不会损害整个系统。沙盒是整个行业广泛使用的安全方法，浏览器已经在沙盒进程中运行Web内容，以尝试阻止恶意或有漏洞的站点危及整个浏览器。

然而，RLBox与这种传统方法不同，它在性能和内存使用方面的成本不同。这使得沙盒关键浏览器子组件(如拼写检查器)成为可能，有效地允许将它们视为不受信任的代码，同时仍在同一进程中运行。这限制了代码的运行方式或它可以访问的内存。

截至今天发布，Firefox正在隔离五个模块：其Graphite字体渲染引擎、Hunspell拼写检查器、Ogg多媒体容器格式、ExpatXML解析器和Woff2Web字体压缩格式。Mozilla表示，这意味着如果在这些子组件之一中发现错误或漏洞，Firefox团队将不需要争先恐后地阻止它们危及整个浏览器。“即使其中任何一个存在零日漏洞，也不会对Firefox构成威胁，”Mozilla说。

Mozilla承认这不是一个包罗万象的解决方案，并且该方法不会在任何地方都有效，例如对性能特别敏感的浏览器组件。但开发商表示，它希望看到其他浏览器和软件项目实施该技术，并打算在未来将其与Firefox的更多组件一起使用。Mozilla还更新了其漏洞赏金计划，如果研究人员能够绕过新的沙箱，他们现在将向他们支付报酬。

标签：