Abo
  • IT-Karriere:

W^X: Firefox nutzt Sicherheitsfunktion aus OpenBSD

Das OpenBSD-Projekt sichert seinen Browser ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) gemacht wird. Nach OpenBSD nutzt dies nun auch Firefox Nightly für Javascript-Code.

Artikel veröffentlicht am ,
Für JIT-Code im Firefox gilt nun die Regel W^X.
Für JIT-Code im Firefox gilt nun die Regel W^X. (Bild: Mozilla/CC-BY-SA 3.0)

Im März dieses Jahres hat das OpenBSD-Projekt offiziell damit begonnen, durch das Umsetzen einer Richtlinie zur Speicherverwaltung einen der genutzten Browser abzusichern. Nachdem dies in OpenBSD aktiviert und getestet wurde, haben die Mozilla-Entwickler nun ebenfalls die W^X genannte Richtlinie in den Nightly-Versionen des Firefox umgesetzt.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Traunreut
  2. spiritdev Softwareentwicklung GmbH, Erlangen

W^X steht dabei für Write XOR Execute und beschreibt, dass Speicherbereiche entweder beschreibbar oder ausführbar sind. Dies gilt nun für Javascript-Code, der von dem Browser JIT-kompiliert wird. Ein Problem dabei ist jedoch, dass eben dieser Code unter Umständen zur Laufzeit gepatcht werden muss. Dies würde allerdings durch eine sehr strikte Umsetzung von W^X gänzlich unterbunden.

Deshalb nutzt die Implementierung im Firefox bestimmte Betriebssystemfunktionen, mit denen ausschließlich der betroffene Teilbereich des Codes erst beschreibbar gemacht werden kann, um diese zu aktualisieren. Dieser wird anschließend jedoch wieder als lediglich ausführbar markiert. Der dadurch erzeugte Mehraufwand sei jedoch sehr gering. In der Ankündigung heißt es zudem, dass Optimierungen an der Umsetzung vorgenommen worden sind, wodurch nahezu die gleiche Leistung erreicht werde wie zuvor.

Mit W^X können bestimmte Arten von Angriffen verhindert werden. So kann etwa eingeschleuster Code nicht mehr ausgeführt werden. OpenBSD nutzt die Richtlinie für seinen Kernel und einige Laufzeit-Komponenten. Neben der Minimierung von Angriffen erhofft sich das Team von Mozilla aber auch weniger Abstürze, die durch Fehler in der Speicherverwaltung der Javascript-Engine verursacht werden. Sollten keine schwerwiegenden Probleme mit der Funktion auftreten, soll diese mit Firefox 46 veröffentlicht werden, der Mitte April 2016 erscheinen soll.



Anzeige
Spiele-Angebote
  1. (-75%) 9,99€
  2. (-56%) 19,99€
  3. (-65%) 3,50€

cpt.dirk 09. Jan 2016

Leider nimmt die Popularität und Verwendung von Javascript auch bei Entwicklern immer...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Urheberrechtsreform: Was das Internet nicht vergessen sollte
    Urheberrechtsreform
    Was das Internet nicht vergessen sollte

    Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
    Eine Analyse von Friedhelm Greis

    1. Leistungsschutzrecht VG Media will Milliarden von Google
    2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
    3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Dragon-Raumschiff bei Test explodiert
    2. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    3. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers

      •  /