Новый подход к песочнице в веб-браузере повышает безопасность


Мощный новый подход к защите веб-браузеров с использованием инструмента под названием WebAssembly — это первое реальное приложение в браузере Firefox. Разработанный группой исследователей из Техасского университета в Остине, Калифорнийского университета в Сан-Диего, Стэнфордского университета и Mozilla, этот подход перемещает часть кода браузера в «безопасные песочницы», которые не позволяют вредоносному коду захватить компьютер пользователя.

Новый подход теперь является частью тестовой версии браузера Firefox для операционной системы Linux и может быть доступен на платформах Windows и MacOS в течение нескольких месяцев.

Веб-браузеры используют библиотеки кода для выполнения обычных действий, таких как рендеринг мультимедийных файлов, включая фотографии, видео и аудио, но в этих библиотеках часто есть незарегистрированные ошибки, которые могут быть использованы хакерами для получения контроля над компьютером.

«Современные браузеры — это кошмар для безопасности», — сказал Ховав Шахам, профессор информатики в UT Austin и соавтор статьи, принятой для презентации на конференции по компьютерной безопасности, которая состоится в августе этого года. «У них есть все, что только можно вообразить. Чем больше у вас функций, тем больше ошибок. И чем больше ошибок, тем больше у злоумышленника шансов скомпрометировать устройства людей. Злоумышленники любят атаковать браузеры, и они действительно понимают, как это сделать. . «

Чтобы не дать хакерам воспользоваться этими уязвимостями, исследователи адаптируют WebAssembly — механизм безопасности, изначально разработанный для ускорения работы веб-приложений, запускаемых в браузере, при этом эти приложения остаются в «защищенных песочницах», которые не позволяют вредоносному коду захватить пользователя. компьютер. Приложения, использующие преимущества WebAssembly, включают игры и приложения, которые выполняют потоковую передачу музыки, редактирование видео, шифрование и распознавание изображений. Согласно новому подходу исследователей, некоторые внутренние компоненты браузера, отвечающие за декодирование медиафайлов, будут перенесены в песочницы WebAssembly.

Подход исследователей, названный фреймворком RLBox, описан в статье («Модернизация изоляции мелкого зерна в Firefox Renderer»), которая будет представлена на симпозиуме по безопасности USENIX в августе. Первым автором статей является аспирант факультета компьютерных наук и инженерии Калифорнийского университета в Сан-Диего Шраван Нараян, а ведущим автором — доцент Калифорнийского университета в Сан-Диего Дейан Стефан.

Новый подход первоначально будет применяться к тестовой версии Firefox для операционной системы Linux и обеспечит защиту только одной библиотеки рендеринга, используемой для определенных шрифтов. Предполагая, что начальные тесты пройдут успешно, команда ожидает, что подход будет постепенно расширяться и включать стабильные полные версии браузера для всех основных операционных систем. Они также ожидают, что в будущем расширение будет включать другие компоненты, участвующие в рендеринге медиафайлов.

«Если первоначальные тесты пройдут успешно, тогда Firefox сможет применить это ко всем форматам изображений, видео и аудио, которые поддерживает браузер», — сказал Шахам. «Есть надежда, что в какой-то момент ошибки во всех этих библиотеках станут бесполезны для взлома Firefox. И если это произойдет, безопасность пользователей значительно улучшится».

Со временем, по мере того как все больше частей браузера получают эти улучшения и включаются в версии для большего числа операционных систем, это может повысить безопасность миллионов пользователей по всему миру. Около 250 миллионов активных пользователей браузера Firefox на настольных компьютерах в месяц.

«Дефекты случаются», — сказал Эрик Рескорла, технический директор Firefox в Mozilla. «Чтобы обеспечить безопасность наших пользователей в Интернете, мы должны убедиться, что одна ошибка программирования не может легко скомпрометировать браузер. На сегодняшний день отраслевой подход к этой проблеме является очень грубым, что ограничивает его эффективность. Мы очень взволнованы чтобы предоставить нашим пользователям новый уровень изоляции, обеспечиваемый RLBox «.

Другими соавторами статей являются аспирант Калифорнийского университета в Сан-Диего Крейг Дисселкоен; Инженеры Mozilla Натан Фройд и Эрик Рам; Научный сотрудник Стэнфордского университета Тал Гарфинкель; и профессор кафедры компьютерных наук и инженерии Калифорнийского университета в Сан-Диего Сорин Лернер.


Добавить комментарий