Firefox 46解決安全問題,改善性能

責(zé)任編輯:editor004

作者: James Chesters

2016-05-03 11:45:10

摘自:INFOQ

Mozilla剛剛發(fā)布了Firefox 46,該版本修復(fù)了多個嚴(yán)重漏洞,并改善了JavaScript JIT編譯器的安全性。Dominators樹“有助于幫您理解自己網(wǎng)站中為不同對象分配的‘保留大小’”,可顯示保留內(nèi)存最多的節(jié)點。

Mozilla剛剛發(fā)布了Firefox 46,該版本修復(fù)了多個嚴(yán)重漏洞,并改善了JavaScript JIT編譯器的安全性。

安全和性能改進(jìn)是Firefox 46最大的變化。該版本共修復(fù)10個安全漏洞,其中有1個嚴(yán)重漏洞,4個高危漏洞,其余6個為中等嚴(yán)重程度的漏洞。

這個嚴(yán)重漏洞與Mozilla所稱的其他內(nèi)存安全隱患有關(guān),“某些情況導(dǎo)致的內(nèi)存錯誤”證明了該Bug的存在,Mozilla團隊稱,“付出足夠努力”就能利用它執(zhí)行任何代碼。

其他高危漏洞則與Firefox for Android有關(guān),在這些漏洞的影響下,攻擊者有可能通過移動設(shè)備的握持方向數(shù)據(jù)(Orientation data)和動作傳感器推測出觸屏上的操作。Mozilla的報告認(rèn)為,如果不修復(fù)這個問題可能危及用戶隱私,并有可能暴露“隨同用戶其他活動輸入的PIN碼”。

該版本中新增了有關(guān)JavaScript Just In Time(JIT)編譯器的重要更新。在Firefox已啟用W^X JIT代碼這篇博客中,Mozilla軟件工程師Jan de Mooij稱:

幾乎所有JIT(包括Firefox目前使用的)都會使用RWX(讀-寫-執(zhí)行)權(quán)限為代碼分配內(nèi)存頁面。JIT通常需要修補代碼(例如用于內(nèi)聯(lián)緩存(Inline cache)),如果內(nèi)存可寫,就能在不影響性能的情況下做到這一點。

然而de Mooij認(rèn)為,這種做法會造成內(nèi)存出錯和安全隱患,RWX頁面的存在使得Bug更容易被利用。在Firefox 46中,JIT代碼頁默認(rèn)為不可寫。

對于這個改動,de Mooij也承認(rèn)W^X并不“完美”,也不是“能解決任何安全問題的萬全之策”,但依然堅信這個改動可以“讓某些攻擊更難實施...只有少量(相對簡短的)代碼路徑可以訪問RW代碼,并且可讀寫的時間窗更短”。

為了改善穩(wěn)定性和性能,Mozilla還在Firefox 46中修復(fù)了多個與WebRTC有關(guān)的問題。

針對Android上的Firefox用戶,F(xiàn)irefox 46也提供了一些更新。例如通知信息中列出的后臺打開的標(biāo)簽頁現(xiàn)在已經(jīng)可以顯示標(biāo)簽頁的URL,自動補全功能可補全默認(rèn)域名,并且Firefox現(xiàn)在可以在運行時申請權(quán)限。Firefox 46取消了對Android for Honeycomb的支持,并已停止支持Firefox Sync 1.1,開始推薦用戶使用火狐賬號(Firefox Accounts)。

針對Linux/GNU用戶,F(xiàn)irefox 46提供了大家期待已久的針對GNOME和其他桌面環(huán)境的GTK3集成。

Firefox 46還為開發(fā)者提供了一個名為Dominators的內(nèi)存工具新視圖。

Dominators樹“有助于幫您理解自己網(wǎng)站中為不同對象分配的‘保留大小’”,可顯示保留內(nèi)存最多的節(jié)點。

借此可以了解“節(jié)點內(nèi)存保留大小的字節(jié)數(shù)或總占比”,“節(jié)點Shallow大小的字節(jié)數(shù)或總占比”,以及“節(jié)點的名稱和內(nèi)存地址”。

在Firefox 47中,Retaining Paths窗格可以為單一節(jié)點顯示5個最短保留路徑(Retaining path),這樣就可以看到阻止特定節(jié)點被垃圾回收的所有節(jié)點。開發(fā)者可以通過保留路徑了解哪些對象保留了對已泄漏對象的引用。

Firefox 46的完整改進(jìn)清單可參閱發(fā)布說明。

Mozilla歡迎新人加入Firefox項目,InfoQ讀者可以通過多種方式為Firefox做貢獻(xiàn)。各種可行方式的完整列表已發(fā)布在Mozilla開發(fā)者網(wǎng)絡(luò),此外Mozilla還提供了一系列參與方法指南。

作者:James Chesters
閱讀英文原文:Firefox 46 Tackles Security Issues, Improves Performance

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號