Mozilla работает над аналогом функции Site Isolation в Firefox

Олег Иванов 30 Июля 2018 - 11:45

...

Mozilla работает над аналогом функции Site Isolation в Firefox

Mozilla работает над реализацией аналога функции Site Isolation в своем браузере Firefox, напомним, что эту функцию Google добавила в Chrome в этом году. Задача нововведения — открытие отдельного изолированного процесса для каждого домена.

Все сводится к тому, чтобы обезопасить пользователя браузера от утечек и перехвата информации с разных сайтов. Злоумышленники в последнее время часто прибегают к таким методам.

Для этого на злонамеренном сайте размещался специальный код, который мог перехватить данные с открытого в соседней вкладке сайта, например.

Раскрытие технической информации таких уязвимостей, как Meltdown и Spectre подтолкнул разработчиков к внедрению новых мер защиты, которые помогут пользователям избежать утечек чувствительной информации.

Таким образом, в апреле в штаб-квартире Mozilla началась работа над новой функцией, которая получила название Project Fission. На данный момент, как заявляют разработчики, проект все еще находится на начальных стадиях реализации.

Однако дела пойдут быстрее, так как не так давно компания добавила Electrolysis — систему разделения процессов браузера. В настоящее время Firefox работает, создавая один процесс графического интерфейса (GUI) и несколько процессов рендеринга страниц.

Есть лишь одно препятствие, которое хотят обойти программисты Mozilla — использование большого количества оперативной памяти. В этом месяце разработчики сконцентрировались над совершенствованием этого аспекта.

Для этого был создан подпроект Fission MemShrink, в рамках которого работа браузера с оперативной памятью будет оптимизирована. Пользователи браузера могут отслеживать прогресс на этой странице.

Непомерное использование оперативной памяти — серьезная проблема, с которой как раз недавно столкнулась и Google со своим Chrome. Потребление большего количества оперативной памяти обусловлено внедрением новой функции Site Isolation («Изоляция сайта»).

Оказалось, что все дело в борьбе разработчиков с критическими уязвимостями Meltdown и Spectre.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 04 Июня 2020 - 10:09

Уязвимости программ Домашние пользователи Cisco

Две критические бреши в Zoom позволяют взломать системы пользователей

Несмотря на резкий скачок дохода разработчиков Zoom, сервис продолжают преследовать проблемы безопасности. Исследователи из Cisco Talos выявили две новые уязвимости в программе. Бреши получили статус критических, поскольку позволяют атакующим взламывать системы пользователей, участвующих в групповых чатах.

Как пояснили специалисты, тип обеих уязвимостей — «path traversal», то есть они допускают запись или копирование произвольных файлов в систему жертвы. Успешная эксплуатация этих дыр может вылиться в выполнение вредоносного кода.

При этом в ходе атаки с целевым пользователем требуется минимальное взаимодействие — ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom.

Одна из брешей, получившая идентификатор CVE-2020-6109, находится в службе GIPHY, которая используется в Zoom для поиска GIF-картинок. К слову, в прошлом месяце Facebook купил GIPHY.

Как выяснили эксперты, Zoom не проверяет источник, из которого загружается GIF. Таким образом, атакующий может «подсунуть» своё злонамеренное изображение. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносные объекты могут проникнуть в локальные папки пользователя.

Вторая уязвимость — CVE-2020-6110 — приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom, с которой должны разобраться разработчики сервиса для видеоконференций.

Напомним, что в Zoom хотят усилить шифрование видеозвонков, но только для платных пользователей.