Firefox para Mac y Linux para obtener un nuevo sistema sandbox de seguridad


firefox.png

Imagen: Mozilla

Mozilla agregará un nuevo sistema sandbox de seguridad a Firefox en Linux y Firefox en Mac.

La nueva tecnología, llamada RLBox, funciona separando las bibliotecas de terceros del código nativo de una aplicación.

Este proceso se llama «sandboxing» y es una técnica ampliamente utilizada que puede evitar que el código malicioso se escape desde una aplicación y se ejecute a nivel del sistema operativo.

RLBox es un proyecto innovador porque lleva el sandboxing al siguiente nivel. En lugar de aislar la aplicación del sistema operativo subyacente, RLBox separa los componentes internos de una aplicación, es decir, sus bibliotecas de terceros, del motor central de la aplicación.

Esta técnica evita que los errores y exploits encontrados dentro de una biblioteca de terceros afecten a otro proyecto que use la misma biblioteca.

RLBox se enviará con los navegadores Firefox el próximo mes

El trabajo en RLBox comenzó el año pasado, en 2019. Este nuevo modelo de caja de seguridad se desarrolló como parte de un esfuerzo conjunto entre Mozilla y académicos de la Universidad de California en San Diego, la Universidad de Texas en Austin y la Universidad de Stanford.

RLBox verá su primer despliegue en Firefox 74 para Linux, que se lanzará el próximo mes, a principios de marzo.

En abril, RLBox también se enviará para Firefox 75 para Mac.

Para su implementación inicial, los desarrolladores de Mozilla han puesto la biblioteca de fuentes Graphite de Firefox dentro de un entorno limitado RLBox.

Los planes futuros incluyen poner otros componentes de Firefox dentro de su propio entorno de sandbox RLBox, pero también expandir el proyecto a otras plataformas, como Windows.

Se puede usar con otras aplicaciones

Sin embargo, aunque Mozilla estuvo muy involucrado con el proyecto y Firefox será la primera aplicación en usarlo, RLBox es en realidad un marco genérico que se puede usar con cualquier aplicación.

De acuerdo con la página de documentación del proyecto, RLBox consta de dos partes: (1) un entorno de espacio aislado basado en WebAssembly y (2) una API programática que los desarrolladores pueden usar para adaptar RLBox a otras aplicaciones y sus versiones anteriores.

Los investigadores dicen que el entorno de sandbox WebAssembly de RLBox se basó principalmente en Lucet, que es un compilador de código abierto WebAssembly y tiempo de ejecución desarrollado por Fastly.

Sin embargo, una parte importante de su trabajo también fue adaptar este entorno limitado y agregar una API universal para que RLBox se pudiera adaptar a los proyectos existentes, la mayoría de los cuales cuentan con millones de líneas de código y decenas de bibliotecas de terceros, todas diferentes entre sí.

Mozilla: «Esto es un gran problema»

«Esto es un gran problema», dijo Bobby Holley, ingeniero principal de Mozilla, refiriéndose a que Firefox agregó soporte RLBox.

«La seguridad es una prioridad para nosotros, y es demasiado fácil cometer errores peligrosos en C / C ++», agregó Holley, refiriéndose a los conocidos errores de seguridad que la codificación en C y C ++ a menudo genera, incluso por accidente.

Los esfuerzos para alejarse de C y C ++ han estado sucediendo en Mozilla desde hace bastante tiempo. Mozilla fue el fundador y el principal patrocinador de Rust, un lenguaje de programación desarrollado como un reemplazo más seguro para C y C ++, que también vio su primer uso en el mundo serious dentro de Firefox.

«Estamos escribiendo una gran cantidad de código nuevo en Rust, pero Firefox es una enorme base de código con millones de líneas de C / C ++ que no desaparecerán pronto», agregó Holley.

«RLBox hace que sea rápido y fácil aislar fragmentos de código existentes con una granularidad que no ha sido posible con el sandboxing de nivel de proceso utilizado en los navegadores hoy en día».

Desarrolladores de Mozilla planea publicar una publicación de web site en el site de Mozilla Hacks más tarde hoy que contiene una descripción técnica detallada sobre las características y el modo de operación de RLBox.

Además, el equipo académico detrás de RLBox también planea publicar un estudio sobre el impacto en el rendimiento de RLBox y otros beneficios. El estudio, titulado «Adaptación del aislamiento de grano fino en el procesador de Firefox, «también se presentará en las actas del Simposio de Seguridad USENIX en marzo.

Vale la pena mencionar que Firefox fue ya se está ejecutando dentro de una caja de arena, separando el navegador del sistema operativo subyacente. Además, el sistema de sandboxing de Firefox también fue aislar diferentes procesos internos de Firefox de una antera. RLBox funcionará además de estas protecciones de sandboxing, como una capa adicional de protección, al aislar las bibliotecas del núcleo de Firefox.



Enlace a la noticia original