Un nuevo y poderoso enfoque para asegurar los navegadores web, utilizando una herramienta llamada WebAssembly, está obteniendo su primera aplicación en el mundo real en el navegador Firefox. Desarrollado por un equipo de investigadores de la Universidad de Texas en Austin, la Universidad de California en San Diego, Stanford University y Mozilla, el enfoque cambia parte del código del navegador a "cajas de seguridad" que evitan que el código malicioso se apodere de la computadora del usuario.
El nuevo enfoque ahora forma parte de una versión de prueba del navegador Firefox para el sistema operativo Linux y podría estar disponible en plataformas Windows y MacOS en unos pocos meses.
Los navegadores web usan bibliotecas de código para realizar actividades comunes, como la representación de archivos multimedia que incluyen fotos, videos y audio, pero estas bibliotecas a menudo tienen errores no reportados que los hackers pueden explotar para tomar el control de una computadora.
"Los navegadores modernos son el escenario de pesadilla para la seguridad", dijo Hovav Shacham, profesor de ciencias de la computación en UT Austin y coautor de un documento relacionado aceptado para su presentación en una conferencia de seguridad informática que se celebrará este agosto ".característica imaginable. Cuantas más características tenga, más errores habrá. Y cuantos más errores haya, más posibilidades tendrá un atacante de comprometer los dispositivos de las personas. A los atacantes les encanta atacar a los navegadores, y realmente entienden cómo hacerlo ".
Para evitar que los piratas informáticos exploten estas vulnerabilidades, los investigadores están adaptando WebAssembly, un mecanismo de seguridad diseñado originalmente para acelerar las aplicaciones web que se ejecutan dentro de un navegador mientras se mantienen esas aplicaciones dentro de "cajas de seguridad" que evitan que el código malicioso se apodere de la computadora del usuarioLas aplicaciones que aprovechan WebAssembly incluyen juegos y aplicaciones que realizan transmisión de música, edición de video, cifrado y reconocimiento de imágenes. En el nuevo enfoque de los investigadores, algunos de los componentes internos del navegador, los responsables de la decodificación de archivos multimedia,se trasladaría a cajas de arena de WebAssembly.
El enfoque de los investigadores, llamado marco RLBox, se describe en un documento "Reequipamiento de aislamiento de grano fino en el procesador de Firefox" que se presentará en el Simposio de seguridad de USENIX en agosto. El primer autor de los artículos es UC San DiegoShravan Narayan, estudiante graduado del Departamento de Ciencias de la Computación e Ingeniería, y el autor principal es el profesor asistente de la UC San Diego, Deian Stefan.
El nuevo enfoque se aplicará inicialmente a una versión de prueba de Firefox para el sistema operativo Linux y asegurará solo una biblioteca de representación utilizada para ciertas fuentes. Suponiendo que las pruebas iniciales vayan bien, el equipo espera que el enfoque se expanda gradualmente para incluirversiones estables de lanzamiento completo del navegador en todos los principales sistemas operativos. También anticipan que la expansión futura incluirá otros componentes involucrados en la representación de archivos multimedia.
"Si las pruebas iniciales van bien, entonces Firefox podría aplicar esto a todos los formatos de imagen, video y audio que admite el navegador", dijo Shacham. "La esperanza es que en algún momento, los errores en todas esas bibliotecas se vuelvan inútilespor hackear Firefox. Y si eso sucede, entonces la seguridad del usuario mejoraría enormemente "
Con el tiempo, a medida que más partes del navegador obtengan estas mejoras y se incorporen a las versiones de más sistemas operativos, podría mejorar la seguridad para millones de usuarios en todo el mundo. Hay aproximadamente 250 millones de usuarios activos mensuales del navegador Firefox en las computadoras de escritorio.
"Los defectos suceden", dijo Eric Rescorla, CTO de Firefox en Mozilla. "Para mantener a nuestros usuarios seguros en Internet, debemos asegurarnos de que un solo error de programación no pueda comprometer fácilmente el navegador. Hasta la fecha, el enfoque de la industria sobre este problema tieneha sido muy burdo, lo que limita su efectividad. Estamos muy entusiasmados de llevar el nuevo nivel de aislamiento proporcionado por RLBox a nuestros usuarios ".
Otros coautores de los documentos son Craig Disselkoen, estudiante de posgrado de UC San Diego; los ingenieros de Mozilla Nathan Froyd y Eric Rahm; el investigador asociado de Stanford Tal Garfinkel; y el profesor del Departamento de Ingeniería e Informática de UC San Diego Sorin Lerner.
Fuente de la historia :
Materiales proporcionado por Universidad de Texas en Austin . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :