image

Mac-versie Firefox verwijderde inhoud clipboard bij sluiten van browser

vrijdag 10 juni 2022, 10:03 door Redactie, 3 reacties

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere problemen met de browser verhelpt. Zo bleek de Mac-versie van Firefox de inhoud van het clipboard te wissen bij het sluiten van de browser. Het probleem deed zich niet voor bij andere platformen. Ook een probleem met een recent toegevoegde beveiligingsmaatregel is verholpen.

Firefox maakt gebruik van procesisolatie waarbij webcontent, zoals html, css en JavaScript, in een apart proces wordt gerenderd dat is geïsoleerd van de rest van het besturingssysteem en wordt beheerd door een parentproces. Mocht een aanvaller een kwetsbaarheid in het contentproces misbruiken dan zijn de mogelijkheden beperkt. Sinds de uitrol van procesisolatie is Mozilla bezig geweest met het verbeteren van de isolatie van het contentproces om zo het aanvalsoppervlak verder te beperken.

Sommige contentprocessen hebben echter toegang nodig tot API's van het besturingssysteem, wat het verder isoleren van processen lastig maakt. Zo moet het contentproces nog steeds met het parentproces kunnen communiceren. Hoewel de processen die content in Firefox weergeven met allerlei beperkingen draaien, hebben ze op Windows nog steeds toegang tot de gehele Windows API (application programming interface), wat volgens Mozilla voor een groot aanvalsoppervlak zorgt. De Windows API beslaat allerlei onderdelen, zoals geheugenmanagement, netwerken en multimedia.

Eén van deze onderdelen is de win32k.sys API, die allerlei grafische en widget-gerelateerde system calls bevat die in het verleden vaak door aanvallers zijn misbruikt. Met Windows 8 lanceerde Microsoft de mogelijkheid voor applicaties om toegang tot win32k.sys system calls te beperken. In Firefox 100.0.1 heeft Mozilla deze optie nu ingeschakeld. Deze "Win32 lockdown" bleek echter op sommige Windowssystemen voor compatibiliteitsproblemen te zorgen waardoor de browser nagenoeg niet meer reageerde. Ook dit euvel is met Firefox 101.0.1 verholpen. Deze versie bevat geen beveiligingsupdates. Updaten naar de nieuwste versie kan via de automatische updatefunctie en Mozilla.org.

Reacties (3)
10-06-2022, 23:17 door Anoniem
"Zo bleek de Mac-versie van Firefox de inhoud van het clipboard te wissen bij het sluiten van de browser. "

Ik noem dat eerder een feature.
12-06-2022, 16:23 door Joep Lunaar
Uit het gegeven dat het zelfs voor een ontwikkelaar als Mozilla bijzonder lastig is om onder MS Windows het aanvalsoppervlak middels isolatie in een proces-container te verkleinen kan worden opgemaakt dat er weinig leveranciers in zullen slagen soortgelijke "hardening" van hun producten op dit platform (MS Windows) te implementeren. Pijnlijk als je je realiseert hoezeer wij in onze maatschappij afhankelijk zijn van MS Windows.
12-06-2022, 17:20 door Joep Lunaar
Het stukje onder "DLL Loading & Third Party Interactions" op https://hacks.mozilla.org/2022/05/improved-process-isolation-in-firefox-100/ is illustratief voor de problemen met isolatie in proces-containers onder MS Windows. Dit zijn patronen die beslist de gemiddelde ontwikkelaar niet behapbaar zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.