Investigatores de Stanford University, UC San Diego, et Universitas Texas in Austin instrumenta , quae adhiberi potest ut separatim additae tabulae ad vulnerabilitates in functionibus bibliothecis intercluderent. RLBox intendit mittere quaestionem securitatis ex incertis bibliothecis tertiae factionis quae non sunt sub potestate tincidunt, sed vulnerabilitates in quibus principale propositum componi potuit.
Mozilla Company usus RLBox in Linux aedificat Firefox 74 et macOS aedificat Firefox 75 ad recludet bibliothecam supplicium Probi redditi font. Eodem tempore, RLBox Firefox specifica non est et adhiberi potest quaslibet bibliothecas in inceptis arbitrariis segregare. RLBox sub licentia MIT. RLBox nunc Linux et macOS suggesta sustinet, cum Fenestra subsidii recentis temporis exspectata est.
Opus RLBox descendit ad componendum C/C ++ codicem bibliothecae solitariae in codicem medium WebAssembly humilem, qui tunc formatus est ut modulus WebAssembly, cuius licentiae relatio ad hunc modulum modo positae sunt. exempli gratia, bibliotheca ad chordas expediendas retis nervum vel fasciculum aperire non poterit). Convertere C/C++ codice ad WebAssembly fit utens .
Ad directam exsecutionem modulus WebAssembly in vernaculam codicem compilator usus est ac percurrit separatum "nanoprocessum" separatim a reliquo applicationis memoria. Lucet compilator in eodem codice innititur ac machinam JIT Usus ab Firefox ad WebAssembly praestandam.
Convenerunt moduli opera in spatio memoriae separato et aditus ad reliquum spatium inscriptionis non habet. Si vulnerabilitas in bibliotheca abutitur, oppugnator limitabitur nec memoria areae principalis processus accedere vel imperium extra ambitum solitarium transferre poterit.
Ut tincidunt, massa a summus quae permittit ut functiones bibliothecae modo solitariae vocare possis. Tractatores WebAssembly nullas fere facultates et commercium cum illis adiectis exigunt, non multo tardius quam vocant functiones ordinarias (munerum bibliothecae in forma codicis indigeni efficiuntur, et supra caput tantum occurrit, cum notitias describendi et inhibendi in processu mutuo cum ambitu solitario) . Munera bibliotheca clausa directe appellari non possunt, ac accessed utendo debent
invoke_sandbox_function() accumsan.
Iamvero si munera externa a bibliotheca vocandi sunt, haec munera explicite definiri debent utendi methodo actis mandandi (per default, RLBox accessum ad munera praebet. ). Ad securitatem memoriae conservandam, solitudo codicis exsecutionis non sufficit et etiam necessarium est ut rivi notitia redditarum verificationis conservetur.
Valores in ambitu solitario generati notantur incerti, circumscripti et "purgatio" require et exscribere ad memoriam applicationis.
Sine tersus, in contextu notitias vitiosas uti nititur quae notitias regulares (et vice versa) consequitur in errores temporis compilati. Munus parvum argumenta, reditus bona, structurae per exemplum inter processus memoriam et memoriam sandbox transferuntur. Magnis datasetis, in ambitu separatim collocatur memoria, et directa monstratorem "sandbox-reference" ad principale processum redditur.
Source: opennet.ru