V8 Sandbox ist nicht mehr experimentell

Nach fast drei Jahren Entwicklung ist die V8 Sandbox – eine leichtgewichtige, prozessinterne Sandbox für die JavaScript-Engine V8 des Chrome-Browsers nicht länger nur eine experimentelle Sicherheitsfunktion.

Ab sofort sei die V8-Sandbox in das Vulnerability Reward Program (VRP) von Chrome aufgenommen worden, teilen die Entwickler mit. Die Aufnahme in das VRP sei ein wichtiger Schritt und Chrome 123 könnte als eine Art “Beta”-Version für die Sandbox angesehen werden, heißt es weiter.

Die Sandbox soll künftig verhindern, dass sich eine Speicherkorruption in V8 innerhalb des Host-Prozesses ausbreitet. Und damit schließt die Sandbox eine wichtige Lücke. Laut den V8-Entwicklern begannen alle Chrome-Exploits, die in den letzten drei Jahren (2021 – 2023) in freier Wildbahn entdeckt wurden, mit einer Speicherkorruptionsschwachstelle in einem Chrome-Renderer-Prozess, die zur Remotecodeausführung (RCE) ausgenutzt wurde.

Der Blogpost nennt weitere Details zur Sandbox.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben