Mozilla wil Firefox-gebruikers beter tegen aanvallen door kwaadaardige code beschermen en gaat daarom de ASLR-beveiligingsmaatregel voor bepaalde extensies verplichten. Address space layout randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Firefox zelf ondersteunt al enige tijd ASLR, maar dat geldt niet voor de extensies.
Maatregel
Vanaf Firefox 13 zal de browser geen DLL-bestanden van extensies meer laden die niet over ASLR beschikken. "ASLR is een belangrijke beveiligingsmaatregel die het lastiger maakt om een beveiligingslek te misbruiken. Firefox gebruikt ASLR al geruime tijd voor de kernonderdelen, maar bij veel extensies die binaire componenten bevatten is dat niet het geval", zegt Mozilla engineer Kyle Huey.
Hij wijst naar de extensies van Symantec en McAfee. Aangezien ASLR standaard door de nieuwere versies van Visual Studio wordt ondersteund, zou de nieuwe maatregel niet voor problemen moeten zorgen, stelt Huey. De maatregel geldt alleen voor extensies die Mozilla's XPCOM framework gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.