Abo
  • Services:
Anzeige
Für JIT-Code im Firefox gilt nun die Regel W^X.
Für JIT-Code im Firefox gilt nun die Regel W^X. (Bild: Mozilla/CC-BY-SA 3.0)

W^X: Firefox nutzt Sicherheitsfunktion aus OpenBSD

Für JIT-Code im Firefox gilt nun die Regel W^X.
Für JIT-Code im Firefox gilt nun die Regel W^X. (Bild: Mozilla/CC-BY-SA 3.0)

Das OpenBSD-Projekt sichert seinen Browser ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) gemacht wird. Nach OpenBSD nutzt dies nun auch Firefox Nightly für Javascript-Code.

Im März dieses Jahres hat das OpenBSD-Projekt offiziell damit begonnen, durch das Umsetzen einer Richtlinie zur Speicherverwaltung einen der genutzten Browser abzusichern. Nachdem dies in OpenBSD aktiviert und getestet wurde, haben die Mozilla-Entwickler nun ebenfalls die W^X genannte Richtlinie in den Nightly-Versionen des Firefox umgesetzt.

Anzeige

W^X steht dabei für Write XOR Execute und beschreibt, dass Speicherbereiche entweder beschreibbar oder ausführbar sind. Dies gilt nun für Javascript-Code, der von dem Browser JIT-kompiliert wird. Ein Problem dabei ist jedoch, dass eben dieser Code unter Umständen zur Laufzeit gepatcht werden muss. Dies würde allerdings durch eine sehr strikte Umsetzung von W^X gänzlich unterbunden.

Deshalb nutzt die Implementierung im Firefox bestimmte Betriebssystemfunktionen, mit denen ausschließlich der betroffene Teilbereich des Codes erst beschreibbar gemacht werden kann, um diese zu aktualisieren. Dieser wird anschließend jedoch wieder als lediglich ausführbar markiert. Der dadurch erzeugte Mehraufwand sei jedoch sehr gering. In der Ankündigung heißt es zudem, dass Optimierungen an der Umsetzung vorgenommen worden sind, wodurch nahezu die gleiche Leistung erreicht werde wie zuvor.

Mit W^X können bestimmte Arten von Angriffen verhindert werden. So kann etwa eingeschleuster Code nicht mehr ausgeführt werden. OpenBSD nutzt die Richtlinie für seinen Kernel und einige Laufzeit-Komponenten. Neben der Minimierung von Angriffen erhofft sich das Team von Mozilla aber auch weniger Abstürze, die durch Fehler in der Speicherverwaltung der Javascript-Engine verursacht werden. Sollten keine schwerwiegenden Probleme mit der Funktion auftreten, soll diese mit Firefox 46 veröffentlicht werden, der Mitte April 2016 erscheinen soll.


eye home zur Startseite
cpt.dirk 09. Jan 2016

Leider nimmt die Popularität und Verwendung von Javascript auch bei Entwicklern immer...



Anzeige

Stellenmarkt
  1. über JBH-Management- & Personalberatung Herget, keine Angabe
  2. ING-DiBa AG, Nürnberg
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)


Anzeige
Top-Angebote
  1. 59,99€
  2. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...
  3. 699€ statt 1.300€

Folgen Sie uns
       


  1. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  2. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  3. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor

  4. Drei

    Netzanbieter warnt vor Upgrade auf iOS 11

  5. Microsoft

    Zusatzpaket bringt wichtige Windows-Funktionen für .Net Core

  6. Olympus Tough TG5 vs. Nikon Coolpix W300

    Die Schlechtwetter-Kameras

  7. Elektroauto

    Elektrobus stellt neuen Reichweitenrekord auf

  8. Apple

    Xcode 9 bringt Entwicklertools für CoreML und Metal 2

  9. Messenger

    Wire-Server steht komplett unter Open-Source-Lizenz

  10. Smart Glass

    Amazon plant Alexa-Brille



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

  1. Re: Als Android-Nutzer beneide ich euch

    tomate.salat.inc | 14:45

  2. Re: Längst gängig

    stoneburner | 14:45

  3. Re: Als ob Glasfaser untrennbar mit Tiefbau...

    Paule | 14:45

  4. Re: Marvin Minsky hat über Watson nur geschmunzelt

    Trollversteher | 14:45

  5. Re: was kann man da denn schon falsch machen?

    Oktavian | 14:44


  1. 14:28

  2. 13:55

  3. 13:40

  4. 12:59

  5. 12:29

  6. 12:00

  7. 11:32

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel