RLBox: Firefox bekommt Webassembly-Sandbox
Um die Risiken zu minimieren, die von Code in C und C++ ausgehen, nutzt der Firefox-Browser dafür künftig eine Webassembly-Sandbox. Das nutzt vor allem jenem Code, der nicht in einen eigenen Prozess ausgelagert werden kann.

In ihrem Hacks-Entwicklerblog schreiben die Firefox-Macher, dass der Browser zwar mehrheitlich in C und C++ geschrieben ist. Diese sicher zu nutzen, sei aber "notorisch schwer". Um wenigstens die davon ausgehenden Risiken zu minimieren, falls der Code Sicherheitslücken enthält, führen die Entwickler künftig eine Webassembly-Sandbox dafür ein.
Bisher habe das Team bei der Umsetzung einer sogenannten Sandbox, also einer Isolierung des laufenden Codes, auf einzelne Prozesse gesetzt. Das verschwende schnell aber zu viele Ressourcen. Als Beispiel verweisen die Entwickler hier auf die Font-Shaping-Bibliothek Graphite. Diese sei schlicht zu klein für einen eigenen Prozess und könnte bei einer gefundenen Sicherheitslücke schnell zu einer Kompromittierung führen.
Mit Hilfe des Werkzeugs RLBox könne derartiger Code aber schnell so umgewandelt werden, dass er in einer Webassembly-Sandbox laufen könne. RLBox besteht dabei einerseits aus der Sandbox und andererseits einer API, um eben bestehenden Anwendungen darauf Zugriff zu ermöglichen. Details zur Funktionsweise liefern die Entwickler von RLBox in ihrem Github-Projekt.
Der betroffene Code muss dafür dann in Webassembly-Bytecode kompiliert werden, aus dem wiederum nativer Objektcode erzeugt wird. Damit können dann andere native Teile von Firefox diese Bestandteile wie gewohnt aufrufen. In ihrem Blogeintrag erklären die Entwickler ausführlich, welche technischen Schwierigkeiten sie dafür überwinden müssen.
Viel mehr Code in der Sandbox geplant
Für die erwähnte Graphite-Bibliothek habe das Team dies bereits umgesetzt. Das Team erwartet darüber hinaus, die Nutzung der neuen Sandbox in den kommenden Monaten deutlich auszuweiten. Begonnen werden soll dies zunächst für externe Bibliotheken, da diese klar definierte Schnittstellen haben.
Die beschriebene Sandbox-Isolierung soll für Linux-Nutzer bereits mit der kommenden Version 74 Anfang März ausgeliefert werden. Folgen sollen dann Mac-Nutzer mit Version 75 und später auch Windows-Nutzer.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Ja die meinte ich. Das kann keiner, auch im Java Bytecode gabs schon bugs.