Mozilla 推出全新沙盒技术 RLBox，关键组件免受零日漏洞威胁

Mozilla 今天通过其 Mozilla Hacks 博客对外宣布，他们计划为 Firefox 浏览器新增一个名为 RLBox 的新型沙盒技术，该技术是 Mozilla 与加州大学圣地亚哥分校（UCSD）和德克萨斯大学（UT）的研究人员所共同开发的，并将随 Firefox 95 一同推出。Mozilla 表示，RLBox 能够更轻松有效地隔离浏览器的子组件，并为 Mozilla 提供了比传统沙盒技术更多的优势。

沙盒是整个行业广泛使用的技术，浏览器可以在沙盒进程中运行 Web 内容，以尝试阻止恶意或有漏洞的单一站点危及整个浏览器。

RLBox 旨在对第三方库进行沙盒处理，它由一个基于 WebAssembly 的沙盒和一个 API 组成，用于在沙盒库内改进现有的应用程序代码。RLBox 将把沙盒库的内存与应用程序/Firefox 的内存隔离开来。RLBox 与传统方法的另一个不同之处在于，它对性能的影响和内存使用更低，这也使得它有可能对关键的浏览器组件进行沙盒处理。

该技术的原型此前已在 Firefox 74 和 Firefox 75 中分别提供给了 Linux 和 Mac 用户。随着 Firefox 95 的推出，RLBox 将脱离原型阶段并且不再局限于 Linux 和 Mac，RLBox 后续将被部署至所有支持的 Firefox 平台上，包括桌面端和移动端。在即将推出的 Firefox 95 中，RLBox 将率先用于隔离三个不同的模块：Graphite、Hunspell 和 Ogg。在 Firefox 96 中，另外两个模块：Expat 和 Woff2 也将被隔离。

Mozilla 工程师 Bobby Holley 表示：

RLBox 让我们在几个方面都能获得巨大的好处：它能够保护用户不受意外缺陷和供应链攻击的影响，而且它们中的任何一个零日漏洞也不会对 Firefox 构成威胁，也能减少我们仓促应付的情况发生。因此，我们打算在未来将 RLBox 继续应用于更多的组件。虽然有些组件由于太依赖与程序的其他部分共享内存，以及对性能太敏感，并不适合这种方法，但我们已经确定了其他一些良好的候选者。

Mozilla 还一同更新了漏洞悬赏计划，在新的计划中，即使隔离库中没有漏洞，但只要研究人员能够绕过新的沙盒就能获得报酬，这也有助于进一步加强 Firefox 浏览器的安全性。

RLBox 并非只能用于 Firefox 浏览器，Mozilla 还希望其他浏览器和软件项目也能够采用这项技术，从而为用户在更广泛的应用领域带来更高的安全性。如无意外，Firefox 95 将于今天晚些时候正式推出。