Mozilla започва внедряването на технологията за изолиране на библиотека RLBox

Изследователи от Станфордския университет, Калифорнийския университет в Сан Диего и Тексаския университет в Остин развити инструменти RLBox, който може да се използва като допълнителен изолационен слой за блокиране на уязвимости във функционални библиотеки. RLBox е насочен към решаване на проблема със сигурността на ненадеждни библиотеки на трети страни, които не са под контрола на разработчиците, но чиито уязвимости могат да компрометират основния проект.

Компания Mozilla планове използвайте RLBox в Linux компилации на Firefox 74 и macOS компилации на Firefox 75, за да изолирате изпълнението на библиотеката графит, отговарящ за изобразяването на шрифтове. RLBox обаче не е специфичен за Firefox и може да се използва за изолиране на всякакви библиотеки в произволни проекти. Разработки RLBox разпространение под лиценз на MIT. В момента RLBox поддържа Linux и macOS платформи, като поддръжката на Windows се очаква по-късно.

механизъм Работата на RLBox се свежда до компилиране на C/C++ кода на изолирана библиотека в междинен WebAssembly код от ниско ниво, който след това се проектира като модул WebAssembly, чиито разрешения се задават само по отношение на този модул (например библиотека за обработка на низове няма да може да отвори мрежов сокет или файл). Преобразуването на C/C++ код в WebAssembly се извършва с помощта на wasi-sdk.

За директно изпълнение модулът WebAssembly се компилира в машинен код с помощта на компилатор Луцет и работи в отделен "нанопроцес", изолиран от останалата част от паметта на приложението. Компилаторът Lucet се основава на същия код като JIT двигателя Кранлифт, използван във Firefox за изпълнение на WebAssembly.

Сглобеният модул работи в отделна област на паметта и няма достъп до останалата част от адресното пространство. Ако се използва уязвимост в библиотеката, нападателят ще бъде ограничен и няма да може да получи достъп до областите на паметта на основния процес или да прехвърли контрола извън изолираната среда.

Предоставя се информация на високо ниво за разработчиците API, което ви позволява да извиквате библиотечни функции в изолиран режим. Манипулаторите на WebAssembly не изискват почти никакви допълнителни ресурси и взаимодействието с тях не е много по-бавно от извикването на обикновени функции (функциите на библиотеката се изпълняват под формата на собствен код и режийните разходи възникват само при копиране и проверка на данни по време на взаимодействие с изолираната среда). Изолираните библиотечни функции не могат да бъдат извикани директно и трябва да бъдат достъпни чрез
слой invoke_sandbox_function().

На свой ред, ако е необходимо да се извикат външни функции от библиотеката, тези функции трябва да бъдат изрично дефинирани чрез метода register_callback (по подразбиране RLBox осигурява достъп до функциите стандартна библиотека). За да се гарантира безопасността на паметта, изолацията при изпълнение на код не е достатъчна и изисква също проверка на върнатите потоци от данни.

Стойностите, генерирани в изолирана среда, са маркирани като ненадеждни и с ограничена употреба опетнени белези и за "почистване" те изискват проверка и копиране в паметта на приложението.
Без почистване опитът да се използват повредени данни в контекст, който изисква редовни данни (и обратното), води до генериране на грешки по време на компилиране. Малките аргументи на функцията, върнатите стойности и структурите се предават чрез копиране между паметта на процеса и паметта на пясъчника. За големи набори от данни паметта се разпределя в изолирана среда и директен референтен указател на пясъчника се връща към основния процес.

Източник: opennet.ru