Mozilla 推出全新沙盒技术 RLBox，关键组件免受零日漏洞威胁

出品|开源中国

文|Travis

Mozilla 今天通过其Mozilla Hacks 博客对外宣布，他们计划为 Firefox 浏览器新增一个名为RLBox的新型沙盒技术，该技术是 Mozilla 与加州大学圣地亚哥分校（UCSD）和德克萨斯大学（UT）的研究人员所共同开发的，并将随 Firefox 95 一同推出。Mozilla 表示，RLBox 能够更轻松有效地隔离浏览器的子组件，并为 Mozilla 提供了比传统沙盒技术更多的优势。

沙盒是整个行业广泛使用的技术，浏览器可以在沙盒进程中运行 Web 内容，以尝试阻止恶意或有漏洞的单一站点危及整个浏览器。

RLBox 旨在对第三方库进行沙盒处理，它由一个基于WebAssembly的沙盒和一个 API 组成，用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于，它对性能的影响和内存使用更低，这也使得它有可能对关键的浏览器组件进行沙盒处理。

该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。随着 Firefox 95 的推出，RLBox 将脱离原型阶段并且不再局限于 Linux 和 Mac，RLBox 后续将被部署至所有支持的 Firefox 平台上，包括桌面端和移动端。在即将推出的 Firefox 95 中，RLBox 将率先用于隔离三个不同的模块：Graphite、Hunspell 和 Ogg。在 Firefox 96 中，另外两个模块：Expat 和 Woff2 也将被隔离。

Mozilla 工程师 Bobby Holley 表示：

RLBox 让我们在几个方面都能获得巨大的好处：它能够保护用户不受意外缺陷和供应链攻击的影响，而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁，也能减少我们仓促应付的情况发生。因此，我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存，以及对性能太敏感，并不适合这种方法，但我们已经确定了其他一些良好的候选者。

Mozilla 还一同更新了漏洞悬赏计划，在新的计划中，即使隔离库中没有漏洞，但只要研究人员能够绕过新的沙盒就能获得报酬，这也有助于进一步加强 Firefox 浏览器的安全性。

RLBox 并非只能用于 Firefox 浏览器，Mozilla 还希望其他浏览器和软件项目也能够采用这项技术，从而为用户在更广泛的应用领域带来更高的安全性。如无意外，Firefox 95 将于今天晚些时候正式推出。