写点什么

Firefox 46 解决安全问题,改善性能

  • 2016-05-02
  • 本文字数:1383 字

    阅读完需:约 5 分钟

Mozilla 刚刚发布了Firefox 46,该版本修复了多个严重漏洞,并改善了JavaScript JIT 编译器的安全性。

安全和性能改进是Firefox 46 最大的变化。该版本共修复10 个安全漏洞,其中有1 个严重漏洞,4 个高危漏洞,其余6 个为中等严重程度的漏洞。

这个严重漏洞与Mozilla 所称的其他内存安全隐患有关,“某些情况导致的内存错误”证明了该Bug 的存在,Mozilla 团队称,“付出足够努力”就能利用它执行任何代码。

其他高危漏洞则与 Firefox for Android 有关,在这些漏洞的影响下,攻击者有可能通过移动设备的握持方向数据(Orientation data)和动作传感器推测出触屏上的操作。Mozilla 的报告认为,如果不修复这个问题可能危及用户隐私,并有可能暴露“随同用户其他活动输入的 PIN 码”。

该版本中新增了有关 JavaScript Just In Time(JIT)编译器的重要更新。在 Firefox 已启用 W^X JIT 代码这篇博客中,Mozilla 软件工程师 Jan de Mooij 称:

几乎所有 JIT(包括 Firefox 目前使用的)都会使用 RWX(读 - 写 - 执行)权限为代码分配内存页面。JIT 通常需要修补代码(例如用于内联缓存(Inline cache)),如果内存可写,就能在不影响性能的情况下做到这一点。

然而 de Mooij 认为,这种做法会造成内存出错和安全隐患,RWX 页面的存在使得 Bug 更容易被利用。在 Firefox 46 中,JIT 代码页默认为不可写。

对于这个改动,de Mooij 也承认 W^X 并不“完美”,也不是“能解决任何安全问题的万全之策”,但依然坚信这个改动可以“让某些攻击更难实施…只有少量(相对简短的)代码路径可以访问 RW 代码,并且可读写的时间窗更短”。

为了改善稳定性和性能,Mozilla 还在 Firefox 46 中修复了多个与 WebRTC 有关的问题。

针对 Android 上的 Firefox 用户,Firefox 46 也提供了一些更新。例如通知信息中列出的后台打开的标签页现在已经可以显示标签页的URL,自动补全功能可补全默认域名,并且Firefox 现在可以在运行时申请权限。Firefox 46 取消了对Android for Honeycomb 的支持,并已停止支持Firefox Sync 1.1,开始推荐用户使用火狐账号(Firefox Accounts)。

针对Linux/GNU 用户,Firefox 46 提供了大家期待已久的针对GNOME 和其他桌面环境的GTK3 集成。

Firefox 46 还为开发者提供了一个名为 Dominators 的内存工具新视图。

Dominators 树“有助于帮您理解自己网站中为不同对象分配的‘保留大小’”,可显示保留内存最多的节点。

借此可以了解“节点内存保留大小的字节数或总占比”,“节点 Shallow 大小的字节数或总占比”,以及“节点的名称和内存地址”。

在 Firefox 47 中, Retaining Paths 窗格可以为单一节点显示 5 个最短保留路径(Retaining path),这样就可以看到阻止特定节点被垃圾回收的所有节点。开发者可以通过保留路径了解哪些对象保留了对已泄漏对象的引用。

Firefox 46 的完整改进清单可参阅发布说明

Mozilla 欢迎新人加入 Firefox 项目,InfoQ 读者可以通过多种方式为 Firefox 做贡献。各种可行方式的完整列表已发布在 Mozilla 开发者网络,此外 Mozilla 还提供了一系列参与方法指南。

作者:James Chesters
阅读英文原文 Firefox 46 Tackles Security Issues, Improves Performance


感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-05-02 19:007847
用户头像

发布了 283 篇内容, 共 116.5 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

瑞云科技副总经理黄金进受邀出席2023广东超聚变生态伙伴大会并作主题演讲

3DCAT实时渲染

元宇宙 实时渲染 云流化 3D实时云渲染 云化XR

一篇文章了解SoapUI接口测试的全部流程

Liam

测试 接口测试 测试工具 API 测试

我决定给 ChatGPT 做个缓存层 >>> Hello GPTCache

Zilliz

Zilliz ChatGPT LLM gptcache

为什么FTP会随着时间的过去而变慢?

镭速

阿凡达Sun4.0众筹开发系统技术搭建

薇電13242772558

NFT

Chrome 浏览器的更新导致 jQuery 反复发版,只因 :has() 这个伪类

茶无味的一天

CSS jquery chrome 前端 浏览器

糟了,生产环境数据竟然不一致,人麻了!

冰河

MySQL 数据库 数据一致性 数据存储

第五元素奏鸣曲:企业的新数据之道

脑极体

数据

支撑百万商户、千亿级调用:微盟如何通过链路设计降本40%?

TakinTalks稳定性社区

「ChatGPT最强竞品」爆火:不限量不要钱免注册!一手实测体验在此

Openlab_cosmoplat

人工智能 开源社区 openai ChatGPT

一文读懂注解的底层原理

老周聊架构

三周年连更

未来源码|什么是数据集成?超全的SeaTunnel 集成工具介绍

MobTech袤博科技

华为云网站安全方案为企业数据保驾护航

科技说

华为云网站安全解决方案,助力企业安心稳步发展

科技说

Django笔记九之model查询filter、exclude、annotate、order_by

Hunter熊

Python django alias annotate order_by

“930大促”日活增速超40% ,哈啰如何用预案高效应急?

TakinTalks稳定性社区

阿里云计算巢产品负责人何川:计算巢,通过数字化工具加速企业数字原生

云布道师

云计算 计算巢

推平“知识高峰”,AI将如何影响我们的学习?

Alter

软件测试/测试开发丨Python 算法与数据结构面试题

测试人

软件测试 面试题 测试开发

华为云全流程等保服务,帮助企业守护信息安全

科技怪授

过去的90天,ODC 发生了哪些新的改变?

OceanBase 数据库

数据库 oceanbase

小程序生命周期

程序员海军

三周年连更

低代码起势,程序员闷头开发的日子结束了

引迈信息

低代码 快速开发 JNPF

为企业发展赋能,华为云网站安全解决方案,保护企业网络安全

科技怪授

探究光明源智慧公厕系统的科技创新与管理优势

光明源智慧厕所

智慧城市

多云之下,京东云的降本增效之道

人称T客

一文掌握 Go 文件的写入操作

陈明勇

Go golang 后端 文件写入 三周年连更

Java Stream常见用法汇总,开发效率大幅提升

程序员大彬

Java java8

杨志丰:一文详解,什么是单机分布式一体化?

OceanBase 数据库

数据库 oceanbase

Firefox 46解决安全问题,改善性能_JavaScript_James Chesters_InfoQ精选文章