• IT-Karriere:
  • Services:

W^X: Firefox nutzt Sicherheitsfunktion aus OpenBSD

Das OpenBSD-Projekt sichert seinen Browser ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) gemacht wird. Nach OpenBSD nutzt dies nun auch Firefox Nightly für Javascript-Code.

Artikel veröffentlicht am ,
Für JIT-Code im Firefox gilt nun die Regel W^X.
Für JIT-Code im Firefox gilt nun die Regel W^X. (Bild: Mozilla/CC-BY-SA 3.0)

Im März dieses Jahres hat das OpenBSD-Projekt offiziell damit begonnen, durch das Umsetzen einer Richtlinie zur Speicherverwaltung einen der genutzten Browser abzusichern. Nachdem dies in OpenBSD aktiviert und getestet wurde, haben die Mozilla-Entwickler nun ebenfalls die W^X genannte Richtlinie in den Nightly-Versionen des Firefox umgesetzt.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Kliniken Schmieder, Allensbach

W^X steht dabei für Write XOR Execute und beschreibt, dass Speicherbereiche entweder beschreibbar oder ausführbar sind. Dies gilt nun für Javascript-Code, der von dem Browser JIT-kompiliert wird. Ein Problem dabei ist jedoch, dass eben dieser Code unter Umständen zur Laufzeit gepatcht werden muss. Dies würde allerdings durch eine sehr strikte Umsetzung von W^X gänzlich unterbunden.

Deshalb nutzt die Implementierung im Firefox bestimmte Betriebssystemfunktionen, mit denen ausschließlich der betroffene Teilbereich des Codes erst beschreibbar gemacht werden kann, um diese zu aktualisieren. Dieser wird anschließend jedoch wieder als lediglich ausführbar markiert. Der dadurch erzeugte Mehraufwand sei jedoch sehr gering. In der Ankündigung heißt es zudem, dass Optimierungen an der Umsetzung vorgenommen worden sind, wodurch nahezu die gleiche Leistung erreicht werde wie zuvor.

Mit W^X können bestimmte Arten von Angriffen verhindert werden. So kann etwa eingeschleuster Code nicht mehr ausgeführt werden. OpenBSD nutzt die Richtlinie für seinen Kernel und einige Laufzeit-Komponenten. Neben der Minimierung von Angriffen erhofft sich das Team von Mozilla aber auch weniger Abstürze, die durch Fehler in der Speicherverwaltung der Javascript-Engine verursacht werden. Sollten keine schwerwiegenden Probleme mit der Funktion auftreten, soll diese mit Firefox 46 veröffentlicht werden, der Mitte April 2016 erscheinen soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-15%) 29,74€
  2. (-72%) 5,50€
  3. 14,99€
  4. 39,99€

cpt.dirk 09. Jan 2016

Leider nimmt die Popularität und Verwendung von Javascript auch bei Entwicklern immer...


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Autohersteller Maserati will Elektroautos mit besonderem Sound ausstatten
  2. Elektroauto-Prämie Regierung liefert Brüssel erste Daten zu neuem Umweltbonus
  3. Zulieferprobleme Audi will E-Tron-Produktion in Brüssel kürzen

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

    •  /