image

Mozilla verplicht hackerbeveiliging voor Firefox-extensies

maandag 27 februari 2012, 11:35 door Redactie, 2 reacties

Mozilla wil Firefox-gebruikers beter tegen aanvallen door kwaadaardige code beschermen en gaat daarom de ASLR-beveiligingsmaatregel voor bepaalde extensies verplichten. Address space layout randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Firefox zelf ondersteunt al enige tijd ASLR, maar dat geldt niet voor de extensies.

Maatregel
Vanaf Firefox 13 zal de browser geen DLL-bestanden van extensies meer laden die niet over ASLR beschikken. "ASLR is een belangrijke beveiligingsmaatregel die het lastiger maakt om een beveiligingslek te misbruiken. Firefox gebruikt ASLR al geruime tijd voor de kernonderdelen, maar bij veel extensies die binaire componenten bevatten is dat niet het geval", zegt Mozilla engineer Kyle Huey.

Hij wijst naar de extensies van Symantec en McAfee. Aangezien ASLR standaard door de nieuwere versies van Visual Studio wordt ondersteund, zou de nieuwe maatregel niet voor problemen moeten zorgen, stelt Huey. De maatregel geldt alleen voor extensies die Mozilla's XPCOM framework gebruiken.

Reacties (2)
28-02-2012, 09:28 door Korund
Dat geldt dus alleen voor platformafhankelijke windows-DLL's, zoals de alomtegenwoordige Flash-plugin. Niet-Windows FF, en extensies die geschreven zijn in Javascript of Java kennen geen ASLR.
28-02-2012, 10:22 door Anoniem
@Carborundum: Onder Linux wordt Firefox vaak wel gebuild met ASLR. Wat betreft Mac weet ik het niet,
zie bijv. Ubuntu : https://wiki.ubuntu.com/Security/Features (build as PIE)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.