Die Firefox-Entwickler haben in der gerade veröffentlichten Version 95 insbesondere die Sicherheit des Webbrowsers im Blick gehabt. Die neue Fassung schließt insgesamt 13 Sicherheitslücken mit teils als "hoch" eingestuftem Risiko. Zudem ergänzt sie eine neue Sandbox namens "RLBox", deren Schutzfunktion deutlich über die Möglichkeiten der klassischen Sandbox-Technologie zur Prozess-Isolierung hinausgehen soll. Die Version 91.4.0 mit Langzeit-Unterstützung, Firefox ESR, haben die Entwickler ebenfalls abgesichert.
Besonders stolz sind die Entwickler auf die RLBox genannte Sandbox-Technik, die nun in die Browser auf allen Plattformen eingezogen und aktiviert worden ist. Sie sei das Ergebnis einer Zusammenarbeit mit Forschern der Universität von Kalifornien San Diego sowie der Universität von Texas.
Die klassische Browser-Sandbox isoliere etwa einzelne Webseiten oder Funktionen als Prozesse voneinander. Als Beispiel nennen die Programmierer etwa Audio- und Video-Codecs, die isoliert in Firefox in abgeschotteten Prozessen voneinander laufen. Dies habe jedoch mehrere Nachteile. Der Code müsse entkoppelt werden und asynchron laufen, was Zeit benötige und auf die Geschwindigkeit gehen könne. Zudem vergrößere sich der Speicherbedarf. Etwa den XML-Parser in dieser Form gegen andere Programmteile so abzuschotten, halten die Entwickler für nicht umsetzbar.
Diese Änderung mache es möglich, vertrauenswürdigen (eigenen) und nicht vertrauenswürdigen (Fremdhersteller-)Code im gleichen Speicherbereich und somit innerhalb eines Prozesses laufen zu lassen. Größere Anpassungen am Programmcode seien nicht nötig. Programmierer müssten Rückgabewerte, die aus der Sandbox kommen, auf Plausibilität prüfen, da sie darin mit bösartigen Absichten zusammengestellt worden sein könnten. Eine Aufgabe, die RLBox durch einen "Tainting layer" vereinfache, erläutern die
Mit dieser feiner granulierten RLBox-Sandbox isoliert der Webbrowser zunächst fünf Dritthersteller-Module: Graphite, Hunspell, Ogg, Expat und Woff2. Weitere Module sollen Stück für Stück dazukommen.
Die ESR-Version 91.4.0 dichtet ausschließlich Sicherheitslücken ab. Davon tragen 5 die Risiko-Einstufung "hoch", 3 "mittel" und 2 stellten lediglich eine geringe Bedrohung dar. Auch hier liefert die
In den
Die neuen Versionen stehen auf der
Quelle: heise
Besonders stolz sind die Entwickler auf die RLBox genannte Sandbox-Technik, die nun in die Browser auf allen Plattformen eingezogen und aktiviert worden ist. Sie sei das Ergebnis einer Zusammenarbeit mit Forschern der Universität von Kalifornien San Diego sowie der Universität von Texas.
Die klassische Browser-Sandbox isoliere etwa einzelne Webseiten oder Funktionen als Prozesse voneinander. Als Beispiel nennen die Programmierer etwa Audio- und Video-Codecs, die isoliert in Firefox in abgeschotteten Prozessen voneinander laufen. Dies habe jedoch mehrere Nachteile. Der Code müsse entkoppelt werden und asynchron laufen, was Zeit benötige und auf die Geschwindigkeit gehen könne. Zudem vergrößere sich der Speicherbedarf. Etwa den XML-Parser in dieser Form gegen andere Programmteile so abzuschotten, halten die Entwickler für nicht umsetzbar.
Neuartige Sandbox
RLBox nutzt daher als Trick, Programmcode zunächst in den Standard WebAssembly zu übersetzen. WebAssembly stellt einige Sicherheitsfunktionen intrinsisch bereit, die dadurch automatisch Einzug halten (Hintergrund für interessierte Leser:Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
). Erst daraus generiere man dann
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Dies finde bereits im Build-Prozess beim Kompilieren von Firefox auf den Mozilla-Servern statt. In der Folge könne der so generierte Binärcode nicht an unerwartete Stellen im Programm springen sowie nicht auf Speicherbereiche außerhalb bestimmter Grenzen zugreifen.Diese Änderung mache es möglich, vertrauenswürdigen (eigenen) und nicht vertrauenswürdigen (Fremdhersteller-)Code im gleichen Speicherbereich und somit innerhalb eines Prozesses laufen zu lassen. Größere Anpassungen am Programmcode seien nicht nötig. Programmierer müssten Rückgabewerte, die aus der Sandbox kommen, auf Plausibilität prüfen, da sie darin mit bösartigen Absichten zusammengestellt worden sein könnten. Eine Aufgabe, die RLBox durch einen "Tainting layer" vereinfache, erläutern die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Mit dieser feiner granulierten RLBox-Sandbox isoliert der Webbrowser zunächst fünf Dritthersteller-Module: Graphite, Hunspell, Ogg, Expat und Woff2. Weitere Module sollen Stück für Stück dazukommen.
Zahlreiche Sicherheitslücken gestopft
Die Mozilla-Entwickler haben mit dem 95er-Release 6 Lücken mit "hohem" Risiko, 5 als moderat eingestufte sowie 2 Lücken mit niedrigem Sicherheitsrisiko schließen können. Die Bugzilla-Einträge sind noch gesperrt. Aufgrund der Schwachstellen hätten Angreifer jedoch lautDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
etwa Schadcode einschleusen, sensible Informationen offenlegen oder Spoofing-Angriffe ausführen können.Die ESR-Version 91.4.0 dichtet ausschließlich Sicherheitslücken ab. Davon tragen 5 die Risiko-Einstufung "hoch", 3 "mittel" und 2 stellten lediglich eine geringe Bedrohung dar. Auch hier liefert die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
bislang lediglich verkürzte Informationen.In den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
listen die Programmierer weitere Verbesserungen auf. Da wäre etwa die Verfügbarkeit des Browsers im Microsoft Store von Windows 10 und 11 – damit lässt sich der Browser im Windows-S-Modus nutzen, in dem nur Anwendungen aus dem Store gestartet werden dürfen. Um Nutzer besser vor Seitenkanalangriffen wie Spectre zu schützen, haben die Entwickler die Site Isolation für alle Nutzer aktiviert. Zudem zählt die Liste weitere kleinere Änderungen auf, die das Verhalten des Browsers optimieren und beschleunigen.Die neuen Versionen stehen auf der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
bereit. Ob die automatische Aktualisierung die lokale Installation schon auf sicheren Stand gebracht hat, können Nutzer durch Klick auf das "Hamburger"-Menü oben rechts und dort der Auswahl von "Hilfe"-"Über Firefox" herausfinden. Bei Bedarf löst das den Aktualisierungsvorgang aus und startet den Browser auf Knopfdruck zudem neu.Quelle: heise
