Mozilla: Технология ASLR станет обязательной для всех бинарных компонентов браузера

image

Теги: Mozilla, Firefox, патч, ASLR

В Mozilla утверждают, что обязательное использование ASLR-технологии сделает браузер Firefox более безопасным.

Представители компании Mozilla выпустили патч, который позволит повысить уровень безопасности браузера Firefox благодаря обязательному использованию технологии ASLR для всех бинарных расширений браузера для ОС Windows. Отметим, что при использовании ASLR в операционных системах случайным образом изменяется расположение в адресном пространстве процесса важных структур, а именно: образа исполняемого файла, подгружаемых библиотек, динамической памяти и стека.

Разработчики Mozilla утверждают, что изменения, которые будут препятствовать загрузке XPCOM-компонента библиотеки без ASLR, будут внесены в Firefox 13, «если не возникнут неожиданные проблемы». Выход этой версии браузера планируется в июне 2012 года.

Отметим, что нововведения Mozilla могут отразиться на продуктах антивирусных компаний Symantec и McAfee. Напомним, что в прошлом году продукты этих компании устанавливали динамические библиотеки, которые компилировались в браузер без ASLR. Это позволяло вредоносным программам с относительной легкостью предугадывать адреса, которые использовались для динамической памяти и стека динамичными библиотеками. ASLR предназначена для рандомизации всех адресов памяти, что позволит размещать программные компоненты в разных местах при их запуске.

Автор разработанного патча Кайл Хей (Kyle Huey) отметил, что технология ASLR включена по умолчанию во всех современных версиях Visual Studio. Патч не содержит недостатков для бинарных расширений, и разработчики должны удостовериться, что технология не была отключена. Помимо этого, Хей также уточнил, что патч не был реализован для всех динамических библиотек, а затронул только те, которые содержат XPCOM-компонент от Mozilla.


или введите имя

CAPTCHA
asintsov
27-02-2012 16:30:48
это поможет, но риск останется, Пример - эксплуатации CVE-2011-2371 (Firefox reduceRight) без использования модулей не поддерживающих ASLR: http://gdtr.wordpress.com/2012/02/22/exploiting-cve-2011-2371-without-non-aslr-modules/
0 |
43546
28-02-2012 01:03:53
Оно будет работать с ASLR + DEP на 64битных системах?
0 |