Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/02/2012
Mozilla requerirà ASLR per a les extensions de Firefox
S’ha introduït un pedaç en el repositori de Firefox que força les extensions binàries de Firefox a utilitzar ASLR amb Windows per a poder funcionar.
El pedaç, introduït recentment per Kyle Huey, un dels desenrotlladors de Mozilla, està dissenyat per a millorar la seguretat del navegador Firefox i forçar que certes extensions binàries utilitzen ASLR (Address Space Layout Randomisation), una tècnica que permet aleatoritzar les adreces de memòria de seccions crítiques com les piles utilitzades per les DLL. Huey diu que, amb este canvi, s’evitarà que es carreguen llibreries XPCOM (Cross Platform Component Object Module) sense ASLR. Este canvi serà introduït en Firefox 13 "si no apareixen problemes inesperats".
Açò podria, per exemple, afectar productes de firmes antivirus com Symantec i McAfee. L’any passat es va detectar que estos productes instal·laven llibreries dinàmiques (DLL) que havien sigut compilades sense ASLR en el navegador, i van permetre que el programari maliciós prediguera amb relativa facilitat les adreces de memòria utilitzades per les piles d’estes DLL. ASLR ha sigut dissenyat per a aleatoritzar totes les adreces de memòria, de manera que els components de l’aplicació es col·locaran en adreces de memòria distintes en cada inici d’esta.
Huey va afegir que, a l’estar l’ASLR actiu per defecte en les versions modernes de Visual Studio, el pedaç no presenta cap inconvenient als desenrotlladors d’extensions binàries, i que estos únicament hauran d’assegurar-se que no han desactivat esta opció. També va dir que implementar este pedaç per a totes les llibreries dinàmiques compartides seria massa difícil i que este pedaç únicament s’aplicarà a les llibreries que utilitzen el framework XPCOM de Mozilla.