Mozilla publie Firefox 95 avec des améliorations de sécurité

Mozilla a publié Firefox 95 avec de nouvelles fonctionnalités dans le domaine des performances et de la stabilité, bien que le point fort vienne de la section sécurité avec la nouvelle technologie de sandboxing, RLBox. .

La nouvelle version majeure du navigateur web de Mozilla, le seul à être open source et à ne pas utiliser le moteur Chromium parmi les trois grands développements, a amélioré l’allocation de la mémoire sur toutes les plateformes où elle est disponible. Pour les utilisateurs de macOS, il existe des optimisations spécifiques qui améliorent la vitesse de démarrage du traitement du contenu et réduisent l’utilisation du processeur, notamment lors de l’accès à des plateformes de streaming telles que Netflix ou Amazon Prime Video.

Une autre nouveauté pour toutes les versions réside dans l’utilisation de la fonction Picture-in-Picture, puisqu’il est désormais possible de déplacer le bouton de l’autre côté de la vidéo à l’aide d’une nouvelle option du menu contextuel. La correction obligatoire des bogues connus termine cette brève revue des nouvelles fonctionnalités, à l’exception de ce qui a été ajouté pour améliorer la sécurité, qui mérite un chapitre à part.

RLBox dans Firefox 95

RLBox est une nouvelle technologie de sandboxing que Mozilla a développée en collaboration avec des chercheurs de plusieurs universités américaines. Testée il y a quelque temps sur les plateformes Linux et Mac, elle est désormais disponible pour toutes les versions de Firefox, de bureau et mobile.

L’idée qui sous-tend cette technologie est celle, bien connue, de ces « environnements en bac à sable » : isoler les processus les plus dangereux pour améliorer la sécurité. . Nous l’avons vu il y a quelque temps lorsque nous avons passé en revue le Windows Sandbox, qui crée un environnement de bureau temporaire par le biais d’une installation réduite de Windows avec un noyau distinct isolé du PC où il fonctionne, et plus récemment dans une application spécifique telle que Sandboxie Plus.

De même, les navigateurs grand public exécutent le contenu web dans leur propre espace de processus isolé, ce qui les empêche en théorie d’exploiter une vulnérabilité du navigateur pour compromettre les ordinateurs. Sur les systèmes d’exploitation de bureau, Firefox isole également chaque site dans son propre processus afin de protéger les sites les uns des autres.

Toutefois, les auteurs de logiciels malveillants attaquent les utilisateurs en enchaînant deux vulnérabilités : l’une pour compromettre le processus d’espace isolé contenant le site malveillant et l’autre pour s’en échapper. « Pour protéger nos utilisateurs contre les adversaires les mieux financés, nous avons besoin de plusieurs couches de protection », expliquent-ils.

Dans Firefox 95, RLBox isole cinq modules différents (Graphite , Hunspell , Ogg , Expat et Woff2) traités comme du code non fiable. Dans le futur et « en supposant que nous ayons bien fait les choses », même une vulnérabilité de type « jour zéro » dans l’un d’entre eux ne devrait pas constituer une menace pour Firefox. « Mozilla nous assure. Techniquement, au lieu de convertir le code en un processus distinct, Mozilla le compile en WebAssembly et le déplace ensuite dans le code natif.

Mozilla affirme que cette technologie ouvre de nouvelles possibilités au-delà de ce qui était possible avec le sandboxing traditionnel basé sur les processus, et espère étendre son utilisation et (si tout va bien) « la voir adoptée dans d’autres navigateurs et projets logiciels ».

RLBox n’est pas la seule amélioration de la sécurité dans Firefox 95. Mozilla indique qu’elle a activé l’isolation des sites pour tous les utilisateurs, ce qui permet d’éviter que les utilisateurs n’aient à faire face à des problèmes de sécurité. se protéger contre les attaques par canal latéral  sur les processeurs tels que Spectre.

Elle a peut-être perdu des parts de marché, mais la Fondation continue à développer des améliorations pour son navigateur. Gratuit et open source, vous pouvez télécharger Firefox 95 à partir de son site web ou, si vous l’utilisez déjà, le mettre à jour à partir du navigateur lui-même.