A atualização do Mozilla Firefox 95 está sendo lançada com uma nova tecnologia de sandbox chamada RLBox, que tem como objetivo aprimorar a proteção do navegador contra códigos maliciosos. A Mozilla diz que a nova tecnologia torna mais fácil e eficiente isolar códigos potencialmente problemáticos para tornar o navegador tão seguro que mesmo vulnerabilidades de dia zero em alguns casos não representam uma ameaça para os usuários do Firefox. Além disso, a Mozilla atualizou seu programa de recompensa por bug para pagar pesquisadores por contornar a sandbox.
Sandboxing é uma prática usada para manter o código potencialmente malicioso isolado do resto do ambiente da organização. De acordo com uma postagem do blog da Mozilla, a técnica de sandbox RLBox usa WebAssembly para isolar cinco módulos do navegador Firefox. A tecnologia WebAssembly permite que aplicativos de muitos recursos, como jogos, vídeo e editores de imagem, sejam executados em um navegador com velocidade equivalente a de um computador local. “Daqui para frente, podemos tratar esses módulos como código não confiável, e mesmo uma vulnerabilidade de dia zero em qualquer um deles não deve representar uma ameaça para o Firefox”, disse a empresa.
A tecnologia, que foi desenvolvida em colaboração com pesquisadores da Universidade da Califórnia em San Diego e da Universidade do Texas, agora está sendo lançada para todas as plataformas do Firefox com suporte (desktop e móvel).
Para entender como o sandboxing RLBox funciona, devemos primeiro entender a natureza das ameaças que estão sendo colocadas online.
Assim como todos os principais navegadores da Web que executam conteúdo em seus próprios processos em sandbox para conectar vulnerabilidades, o Firefox também isola cada site em seu próprio processo para proteção. A Mozilla diz que os agentes de ameaças atacam os usuários encadeando duas vulnerabilidades – “uma para comprometer o processo em sandbox que contém o site malicioso e outra para escapar da sandbox”. Para enfrentar esse susto, é necessária uma proteção multicamadas.
Conforme mencionado, a tecnologia de sandbox RLBox compila o código em WebAssembly em vez de colocá-lo em um processo separado. Em seguida, ele compila esse WebAssembly em código nativo, permitindo que o Firefox execute códigos confiáveis e não confiáveis no mesmo processo. A Mozilla diz que o RLBox ajuda a higienizar quaisquer valores que venham da sandbox, resultando em proteção aprimorada contra códigos maliciosos.
.
source – gadgets.ndtv.com
