The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

12.05.2018 11:35  Улучшение sandbox-изоляции в Firefox

В недавно выпущенном релизе Firefox 60 была существенно улучшена sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level.

Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвимостей в разных подсистемах. Блокирование сетевого доступа в процессах обработки контента позволяет исключить все нештатные пути отправки трафика, например, при включении работы через прокси в настройках доступ теперь возможен только через прокси, даже в случае эксплуатации уязвимости и попытки прямой установки соединения (особенно изменение актуально для защиты от атак по деанонимизации пользователей Tor Browser). Не менее важна блокировка доступа через unix-сокеты, так как эта возможность позволяет обратиться от имени пользователя к локальным сервисам, RPC-интерфейс которых допускает команды, в результате которых можно выполнить код в системе.

Блокировка реализована через запрет системных вызовов, таких как connect, и помещение процесса в отдельное пространство имён идентификаторов пользователя (user namespaces), по аналогии с тем как реализуется изоляция для контейнеров. Исключение сделано только для протокола X11, который применяется для отображения графики и приёма событий ввода (в будущих выпусках планируют реализовать защиту и для канала связи с X11).

Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог), ограничен доступ дочерних процессов Firefox к системным вызовам (используется Seccomp-bpf), ограничено взаимодействие со сторонними процессами, исключён доступ к разделяемой памяти и видеоподсистеме.

В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

  1. Главная ссылка к новости (https://www.morbo.org/2018/05/...)
  2. OpenNews: Атака на системы с rTorrent для скрытого майнинга криптовалюты
  3. OpenNews: Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код
  4. OpenNews: В ночные сборки Firefox добавлена начальная поддержка sandbox-изоляции
  5. OpenNews: Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Browser
  6. OpenNews: Обновление web-браузера Tor Browser 7.0.7 с поддержкой sandbox для Linux
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: firefox, sandbox, limit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 12:33, 12/05/2018 [ответить] [смотреть все]     [к модератору]
  • +/
    Т е теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 12:37, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Это плохо или хорошо?
     
     
  • 3.7, Аноним, 13:53, 12/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    И хорошо и плохо.
     
     
  • 4.32, Аноним, 20:22, 12/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > И хорошо и плохо.

    Критическая уязвимость Шредингера. Wait, oh shi-!

     
  • 1.6, Stax, 13:48, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    > для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений

    Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

    > Также теперь блокируются любые обращения к System V IPC

    Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API.

    Несколько странно блокировать SysV и ничего не делать про POSIX вариант.

    Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (

     
     
  • 2.11, Аноним, 14:22, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это мозилла, они только и умеют что безопасные просмотрщики PDF на JS наворачи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Kuromi, 16:48, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А иного просмотрщика и не будет, проект Mortar PDFium их Хрома официально закр... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 20:21, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую Т... весь текст скрыт [показать]
     
  • 3.43, Аноним, 01:02, 13/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А в чём твои претензии С некоторых пор 57 pdf js безопаснее системных просмот... весь текст скрыт [показать]
     
     
  • 4.46, Аноним, 21:56, 13/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Так безопасен, что Владимир Палант изначальный автор адблока накопал там кучу ... весь текст скрыт [показать]
     
  • 4.53, Аноним, 19:44, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплев... весь текст скрыт [показать]
     
  • 2.17, пох, 15:56, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного л... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 16:01, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Потому что отличаются в деталях, а тестить разработчику среднего пошиба один чер... весь текст скрыт [показать]
     
     
  • 4.36, пох, 21:43, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    user namespaces - это не детали, это мертвый технологический тупик, в котором ли... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 23:58, 12/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Что там, в тупике-то?
     
  • 5.54, Аноним, 20:21, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На уровне технологий и реализации никаких фатальных провалов которые бы меня кор... весь текст скрыт [показать]
     
  • 2.25, Kuromi, 16:52, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Как будто это нвовость Не буду напоминать про отсутвие аппаратного декодировани... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, Kuromi, 17:15, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вот ваша ссылочка в Багзиллу - https bugzilla mozilla org show_bug cgi id 1376... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, КО, 20:25, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И это коментарий на Linux специфичную фичу Которой все одно почти никто в здрав... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, PereresusNeVlezaetBuggy, 23:16, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Причём тут рут Запретить браузеру заливать в Интернет мои файлы без спроса, или... весь текст скрыт [показать]
     
  • 3.47, Аноним, 21:59, 13/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    для работы с capability root не нужен firejail прекрасно без рута работает ... весь текст скрыт [показать]
     
  • 2.42, Аноним, 01:00, 13/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Совсем не правда, линуксоид Про мак всегда пишут Про андроид тоже Так что ты ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, анон, 03:36, 13/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А при чём тут bsdшнники Мы локти не кусаем в ожидании вендокопца Пилим себе поти... весь текст скрыт [показать]
     
     
  • 4.52, Аноним, 19:01, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.
     
  • 1.8, Аноним, 13:56, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Зачем эти возможности изначально?
     
  • 1.9, Аноним, 14:16, 12/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Эти ламерозные скриптокидозники так до сих пор и не смогли в clone с отпиливан... весь текст скрыт [показать]
     
  • 1.15, Аноним, 15:18, 12/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работ... весь текст скрыт [показать]
     
     
  • 2.26, Kuromi, 16:56, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Будет, если вручную включить user namespaces Начиная с 7 2 в Рэд Хате оно есть,... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, X4asd, 15:29, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

    а также (не включено) в Arch Linux и куче других линуксов.

    проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают!

    вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.

     
     
  • 2.21, Аноним, 16:06, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Еще дебиан и почти все его деривативы забыл Всего ничего А так что там осталос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Арчевод, 23:11, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Дырявый этот ваш User Namespaces Был включён раньше, но когда там стали пачками... весь текст скрыт [показать]
     
     
  • 4.55, Аноним, 20:27, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть Н... весь текст скрыт [показать]
     
     
  • 5.57, Аноним, 09:33, 15/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Уважаемый гуру, подскажите пожалуйста, какой другой кернель был заточен на то... весь текст скрыт [показать]
     
  • 1.29, Аноним, 18:20, 12/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Противоречивая новость Так и не понял стало лучше или хуже юзер что-то там дыр... весь текст скрыт [показать]
     
     
  • 2.30, Аноним, 19:37, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Речь идет об очередных 171 улучшениях в файрфоксе 187 Думаю, ты знаешь, ч... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, КО, 20:53, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну как бы лучше, но если дать рута браузеру А там, как повезет Интересно, п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, пох, 22:01, 12/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не браузеру всем подряд Ну, правда, специального такого рута, который как бы е... весь текст скрыт [показать]
     
     
  • 4.49, КО, 09:26, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Он не внезапно, он закономерно.
    Ядро это, что-то типа творчества Франкенштейна. И одни части, ради которых это задумывалось, в курсе концепции "царь то не настоящий". А авторы других об этом никогда и не задумывались. Пока все не прошерстить и не переписать, так и будет.
     
  • 4.56, Аноним, 20:29, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    При том основы этого бардака заложили как ни странно древние юниксы и POSIX А в... весь текст скрыт [показать]
     
  • 1.34, Аноним, 20:50, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Оно включается после обновления или нужно самому включать?
     
     
  • 2.38, Kuromi, 22:52, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Если настройки sandbox-а руками не меняли раньше, то само включится Если меняли... весь текст скрыт [показать] [показать ветку]
     
  • 1.50, Hdddd, 11:18, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог)

    Вопрос знатокам: а как тогда я могу сохранять или аплоадить файлы, ведь я должен увидеть пустой каталог при открытии соотв. диалогового окна?

     
     
  • 2.51, Ан, 11:59, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса из коробки.
    Доки из фокса напрямую не открываются в либре - это минус.
    Очевидно, никакой втроенной изоляции нет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor