Mozilla: Технология ASLR станет обязательной для всех бинарных компонентов браузера

image

Теги: Mozilla, Firefox, патч, ASLR

В Mozilla утверждают, что обязательное использование ASLR-технологии сделает браузер Firefox более безопасным.

Представители компании Mozilla выпустили патч , который позволит повысить уровень безопасности браузера Firefox благодаря обязательному использованию технологии ASLR для всех бинарных расширений браузера для ОС Windows. Отметим, что при использовании ASLR в операционных системах случайным образом изменяется расположение в адресном пространстве процесса важных структур, а именно: образа исполняемого файла, подгружаемых библиотек, динамической памяти и стека.

Разработчики Mozilla утверждают, что изменения, которые будут препятствовать загрузке XPCOM-компонента библиотеки без ASLR, будут внесены в Firefox 13, «если не возникнут неожиданные проблемы». Выход этой версии браузера планируется в июне 2012 года.

Отметим, что нововведения Mozilla могут отразиться на продуктах антивирусных компаний Symantec и McAfee. Напомним, что в прошлом году продукты этих компании устанавливали динамические библиотеки, которые компилировались в браузер без ASLR. Это позволяло вредоносным программам с относительной легкостью предугадывать адреса, которые использовались для динамической памяти и стека динамичными библиотеками. ASLR предназначена для рандомизации всех адресов памяти, что позволит размещать программные компоненты в разных местах при их запуске.

Автор разработанного патча Кайл Хей (Kyle Huey) отметил , что технология ASLR включена по умолчанию во всех современных версиях Visual Studio. Патч не содержит недостатков для бинарных расширений, и разработчики должны удостовериться, что технология не была отключена. Помимо этого, Хей также уточнил, что патч не был реализован для всех динамических библиотек, а затронул только те, которые содержат XPCOM-компонент от Mozilla.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus