RLBox: Firefox bekommt Webassembly-Sandbox

Um die Risiken zu minimieren, die von Code in C und C++ ausgehen, nutzt der Firefox-Browser dafür künftig eine Webassembly-Sandbox. Das nutzt vor allem jenem Code, der nicht in einen eigenen Prozess ausgelagert werden kann.

Artikel veröffentlicht am ,
Firefox soll eine Sandbox für externe Bibliotheken bekommen.
Firefox soll eine Sandbox für externe Bibliotheken bekommen. (Bild: Mathias Appel/CC0 1.0)

In ihrem Hacks-Entwicklerblog schreiben die Firefox-Macher, dass der Browser zwar mehrheitlich in C und C++ geschrieben ist. Diese sicher zu nutzen, sei aber "notorisch schwer". Um wenigstens die davon ausgehenden Risiken zu minimieren, falls der Code Sicherheitslücken enthält, führen die Entwickler künftig eine Webassembly-Sandbox dafür ein.

Stellenmarkt
  1. Leiter Anwendungsentwicklung (m/w/d)*
    über Dr. Richter Heidelberger GmbH & Co. KG, Rhein-Neckar-Kreis
  2. IT Servicetechniker (w/m/d)
    Bechtle Onsite Services GmbH, Ingolstadt
Detailsuche

Bisher habe das Team bei der Umsetzung einer sogenannten Sandbox, also einer Isolierung des laufenden Codes, auf einzelne Prozesse gesetzt. Das verschwende schnell aber zu viele Ressourcen. Als Beispiel verweisen die Entwickler hier auf die Font-Shaping-Bibliothek Graphite. Diese sei schlicht zu klein für einen eigenen Prozess und könnte bei einer gefundenen Sicherheitslücke schnell zu einer Kompromittierung führen.

Mit Hilfe des Werkzeugs RLBox könne derartiger Code aber schnell so umgewandelt werden, dass er in einer Webassembly-Sandbox laufen könne. RLBox besteht dabei einerseits aus der Sandbox und andererseits einer API, um eben bestehenden Anwendungen darauf Zugriff zu ermöglichen. Details zur Funktionsweise liefern die Entwickler von RLBox in ihrem Github-Projekt.

Der betroffene Code muss dafür dann in Webassembly-Bytecode kompiliert werden, aus dem wiederum nativer Objektcode erzeugt wird. Damit können dann andere native Teile von Firefox diese Bestandteile wie gewohnt aufrufen. In ihrem Blogeintrag erklären die Entwickler ausführlich, welche technischen Schwierigkeiten sie dafür überwinden müssen.

Viel mehr Code in der Sandbox geplant

Golem Akademie
  1. Data Engineering mit Apache Spark
    27.-28. September 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
Weitere IT-Trainings

Für die erwähnte Graphite-Bibliothek habe das Team dies bereits umgesetzt. Das Team erwartet darüber hinaus, die Nutzung der neuen Sandbox in den kommenden Monaten deutlich auszuweiten. Begonnen werden soll dies zunächst für externe Bibliotheken, da diese klar definierte Schnittstellen haben.

Die beschriebene Sandbox-Isolierung soll für Linux-Nutzer bereits mit der kommenden Version 74 Anfang März ausgeliefert werden. Folgen sollen dann Mac-Nutzer mit Version 75 und später auch Windows-Nutzer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Smartphones: Oneplus und Oppo werden eins
    Smartphones
    Oneplus und Oppo werden eins

    Oneplus wird Teil von Oppo - was sich positiv auf die verfügbaren Ressourcen und die Entwicklung auswirken soll. Die Marke wird es weiterhin geben.

  2. Websicherheit: Wie KenFM von Anomyous gehackt wurde
    Websicherheit
    Wie KenFM von Anomyous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

  3. Elektromobilität: Scheuer fordert Öffnung von Teslas Superchargern
    Elektromobilität
    Scheuer fordert Öffnung von Teslas Superchargern

    Verkehrsminister Andreas Scheuer will die Elektromobilität voranbringen. Er fordert Verbesserungen beim Laden der Elektroautos.

Kaiser Ming 28. Feb 2020

Ja die meinte ich. Das kann keiner, auch im Java Bytecode gabs schon bugs.


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI MAG274R2 27" FHD 144Hz 269€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Apple iPads (u. a. iPad Pro 12,9" 256GB 909€) • Razer Naga Pro 119,99€ • Alternate (u. a. NZXT Kraken WaKü 109,90€) [Werbung]
    •  /