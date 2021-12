Firefox 95, la dernière version du navigateur de Mozilla qui est déployée à partir d’aujourd’hui, introduit une nouvelle fonctionnalité de sécurité conçue pour limiter les dommages que les bogues et les vulnérabilités de sécurité dans son code peuvent causer, a annoncé Mozilla aujourd’hui. La fonctionnalité, appelée RLBox, a été développée avec l’aide de chercheurs de l’Université de Californie à San Diego et de l’Université du Texas, et elle a été initialement publiée en tant que prototype l’année dernière. Il arrive à la fois sur les versions de bureau et mobiles de Firefox.

À la base, RLBox est une technologie de bac à sable, ce qui signifie qu’elle est effectivement capable d’isoler le code afin que les vulnérabilités de sécurité qu’il pourrait contenir ne puissent endommager l’ensemble du système. Le bac à sable est une méthode de sécurité largement utilisée dans l’industrie, et les navigateurs exécutent déjà du contenu Web dans des processus en bac à sable pour essayer d’empêcher les sites malveillants ou bogués de compromettre l’ensemble du navigateur.

Mozilla espère que d’autres programmes et navigateurs adopteront la technologie

Cependant, RLBox diffère de cette approche traditionnelle et n’a pas les mêmes coûts en termes de performances et d’utilisation de la mémoire. Cela permet de mettre en sandbox les sous-composants critiques du navigateur, comme son correcteur orthographique, ce qui lui permet de les traiter comme du code non fiable tout en s’exécutant dans le même processus. Cela impose des limites sur la façon dont le code peut s’exécuter ou à quelle mémoire il peut accéder.

Depuis la sortie d’aujourd’hui, Firefox isole cinq modules : son moteur de rendu de polices Graphite, le correcteur orthographique Hunspell, le format de conteneur multimédia Ogg, l’analyseur XML Expat et le format de compression de police Web Woff2. Mozilla dit que cela signifie que si des bogues ou des vulnérabilités sont découverts dans l’un de ces sous-composants, l’équipe de Firefox n’aura pas besoin de se démener pour les empêcher de compromettre l’ensemble du navigateur. « Même une vulnérabilité zero-day dans l’un d’entre eux ne devrait constituer aucune menace pour Firefox », déclare Mozilla.

Mozilla admet qu’il ne s’agit pas d’une solution fourre-tout et que l’approche ne fonctionnera pas partout, comme les composants de navigateur particulièrement sensibles aux performances. Mais le développeur dit qu’il espère voir d’autres navigateurs et projets logiciels implémenter la technologie et qu’il a l’intention de l’utiliser avec davantage de composants de Firefox à l’avenir. Mozilla a également mis à jour son programme de primes aux bogues et paiera désormais les chercheurs s’ils parviennent à contourner les nouveaux bacs à sable.