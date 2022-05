Mozilla heeft in de nieuwste versie van Firefox een beveiligingsmaatregel toegevoegd die gebruikers van de browser op Windows beter moet beschermen. Firefox maakt gebruik van procesisolatie waarbij webcontent, zoals html, css en JavaScript, in een apart proces wordt gerenderd dat is geïsoleerd van de rest van het besturingssysteem en wordt beheerd door een parentproces.

Mocht een aanvaller een kwetsbaarheid in het contentproces misbruiken dan zijn de mogelijkheden beperkt. Sinds de uitrol van procesisolatie is Mozilla bezig geweest met het verbeteren van de isolatie van het contentproces om zo het aanvalsoppervlak verder te beperken. Sommige contentprocessen hebben echter toegang nodig tot API's van het besturingssysteem, wat het verder isoleren van processen lastig maakt. Zo moet het contentproces nog steeds met het parentproces kunnen communiceren.

Hoewel de processen die content in Firefox weergeven met allerlei beperkingen draaien, hebben ze op Windows nog steeds toegang tot de gehele Windows API (application programming interface), wat volgens Mozilla voor een groot aanvalsoppervlak zorgt. De Windows API beslaat allerlei onderdelen, zoals geheugenmanagement, netwerken en multimedia.

Eén van deze onderdelen is de win32k.sys API, dat allerlei grafische en widget-gerelateerde system calls bevat die in het verleden vaak door aanvallers zijn misbruikt. Met Windows 8 lanceerde Microsoft de mogelijkheid voor applicaties om toegang tot win32k.sys system calls te beperken. In Firefox 100.0.1 heeft Mozilla deze optie nu ingeschakeld. Iets wat een lastig proces was gezien de rol die win32k system calls op Windows spelen.

Mozilla moest daarbij niet alleen rekening houden met Firefox zelf, maar ook dat allerlei Windowsfuncties ervan uitgaan dat toegang tot win32k.sys standaard beschikbaar is. Derde partijen kunnen bijvoorbeeld via Firefox dll-bestanden injecteren die van win32k system calls gebruikmaken. Vanwege deze situatie zal de nieuwe procesisolatie alleen beschikbaar komen voor gebruikers van de Windows 10 Fall Creators Update en later. Voor oudere Windowsversies werkt Mozilla nog aan een fix. Verder laat Mozilla weten dat het een soortgelijke beveiligingsmaatregel eerder voor Linux en macOS doorvoerde.