Новый подход в настоящее время является частью тестового выпуска браузера Firefox для операционной системы Linux и может быть доступен на платформах Windows и macOS в течение нескольких месяцев.

Веб-браузеры используют библиотеки кода для выполнения обычных действий, таких как рендеринг медиафайлов, включая фотографии, видео и аудио, но эти библиотеки часто содержат незарегистрированные ошибки, которые могут быть использованы хакерами для получения контроля над компьютером.

"Современные браузеры - это кошмарный сценарий для безопасности", - сказал Ховав Шахам, профессор компьютерных наук в Калифорнийском университете в Остине и соавтор соответствующей статьи, принятой для презентации на конференции по компьютерной безопасности, которая состоится в августе этого года. "У них есть все возможности, какие только можно вообразить. Чем больше у вас функций, тем больше в них ошибок. И чем больше ошибок, тем больше шансов у злоумышленника скомпрометировать устройства людей. Злоумышленникам нравится атаковать браузеры, и они действительно понимают, как это сделать".

Чтобы предотвратить использование хакерами этих уязвимостей, исследователи адаптируют WebAssembly, механизм безопасности, первоначально разработанный для ускорения веб-приложений, которые запускаются в браузере, сохраняя при этом эти приложения в "безопасных песочницах", которые предотвращают попадание вредоносного кода на компьютер пользователя. Приложения, использующие преимущества WebAssembly, включают игры и приложения, которые выполняют потоковую передачу музыки, редактирование видео, шифрование и распознавание изображений. Согласно новому подходу исследователей, некоторые из собственных внутренних компонентов браузера - те, которые отвечают за декодирование медиафайлов, - будут перенесены в песочницы WebAssembly.

Подход исследователей, называемый RLBox framework, описан в документе ("Модернизация мелкозернистой изоляции в рендерере Firefox"), который будет представлен на симпозиуме по безопасности USENIX в августе. Первым автором статей является аспирант факультета компьютерных наук и инженерии Калифорнийского университета в Сан-Диего Шраван Нараян, а ведущим автором - доцент Калифорнийского университета в Сан-Диего Дейан Стефан.

Новый подход первоначально будет применен к тестовой версии Firefox для операционной системы Linux и обеспечит защиту только одной библиотеки рендеринга, используемой для определенных шрифтов. Предполагая, что первоначальные тесты пройдут успешно, команда ожидает, что подход будет постепенно расширен, чтобы включить стабильные, полные версии браузера для всех основных операционных систем. Они также ожидают, что в будущем расширение будет включать другие компоненты, участвующие в рендеринге медиафайлов.

"Если первоначальные тесты пройдут успешно, то Firefox сможет применить это ко всем форматам изображений, видео и аудио, которые поддерживает браузер", - сказал Шачам. "Есть надежда, что в какой-то момент ошибки во всех этих библиотеках станут бесполезными для взлома Firefox. И если это произойдет, то безопасность пользователей значительно повысится".

Со временем, по мере того как все больше частей браузера получат эти улучшения и будут включены в версии для большего числа операционных систем, это может повысить безопасность миллионов пользователей по всему миру. Ежемесячно на настольных компьютерах насчитывается примерно 250 миллионов активных пользователей браузера Firefox.

"Дефекты случаются", - сказал Эрик Рескорла, технический директор Firefox в Mozilla. "Чтобы обеспечить безопасность наших пользователей в Интернете, нам необходимо убедиться, что одна программная ошибка не может легко скомпрометировать браузер. На сегодняшний день подход отрасли к этой проблеме был очень грубым, что ограничивает его эффективность. Мы очень рады предложить нашим пользователям новый уровень изоляции, предоставляемый RLBox".

Другими соавторами статей являются аспирант Калифорнийского университета в Сан-Диего Крейг Дисселкоен; инженеры Mozilla Натан Фройд и Эрик Рам; научный сотрудник Стэнфорда Тал Гарфинкель; и профессор кафедры компьютерных наук и инженерии Калифорнийского университета в Сан-Диего Сорин Лернер.