Firefox 46解决安全问题,改善性能
Mozilla刚刚发布了Firefox 46,该版本修复了多个严重漏洞,并改善了JavaScript JIT编译器的安全性。
\\
安全和性能改进是Firefox 46最大的变化。该版本共修复10个安全漏洞,其中有1个严重漏洞,4个高危漏洞,其余6个为中等严重程度的漏洞。
\\
这个严重漏洞与Mozilla所称的其他内存安全隐患有关,“某些情况导致的内存错误”证明了该Bug的存在,Mozilla团队称,“付出足够努力”就能利用它执行任何代码。
\\
其他高危漏洞则与Firefox for Android有关,在这些漏洞的影响下,攻击者有可能通过移动设备的握持方向数据(Orientation data)和动作传感器推测出触屏上的操作。Mozilla的报告认为,如果不修复这个问题可能危及用户隐私,并有可能暴露“随同用户其他活动输入的PIN码”。
\\
该版本中新增了有关JavaScript Just In Time(JIT)编译器的重要更新。在Firefox已启用W^X JIT代码这篇博客中,Mozilla软件工程师Jan de Mooij称:
\\
\
几乎所有JIT(包括Firefox目前使用的)都会使用RWX(读-写-执行)权限为代码分配内存页面。JIT通常需要修补代码(例如用于内联缓存(Inline cache)),如果内存可写,就能在不影响性能的情况下做到这一点。
\
\\
然而de Mooij认为,这种做法会造成内存出错和安全隐患,RWX页面的存在使得Bug更容易被利用。在Firefox 46中,JIT代码页默认为不可写。
\\
对于这个改动,de Mooij也承认W^X并不“完美”,也不是“能解决任何安全问题的万全之策”,但依然坚信这个改动可以“让某些攻击更难实施...只有少量(相对简短的)代码路径可以访问RW代码,并且可读写的时间窗更短”。
\\
为了改善稳定性和性能,Mozilla还在Firefox 46中修复了多个与WebRTC有关的问题。
\\
针对Android上的Firefox用户,Firefox 46也提供了一些更新。例如通知信息中列出的后台打开的标签页现在已经可以显示标签页的URL,自动补全功能可补全默认域名,并且Firefox现在可以在运行时申请权限。Firefox 46取消了对Android for Honeycomb的支持,并已停止支持Firefox Sync 1.1,开始推荐用户使用火狐账号(Firefox Accounts)。
\\
针对Linux/GNU用户,Firefox 46提供了大家期待已久的针对GNOME和其他桌面环境的GTK3集成。
\\
Firefox 46还为开发者提供了一个名为Dominators的内存工具新视图。
\\
\\
Dominators树“有助于帮您理解自己网站中为不同对象分配的‘保留大小’”,可显示保留内存最多的节点。
\\
借此可以了解“节点内存保留大小的字节数或总占比”,“节点Shallow大小的字节数或总占比”,以及“节点的名称和内存地址”。
\\
在Firefox 47中,Retaining Paths窗格可以为单一节点显示5个最短保留路径(Retaining path),这样就可以看到阻止特定节点被垃圾回收的所有节点。开发者可以通过保留路径了解哪些对象保留了对已泄漏对象的引用。
\\
Firefox 46的完整改进清单可参阅发布说明。
\\
Mozilla欢迎新人加入Firefox项目,InfoQ读者可以通过多种方式为Firefox做贡献。各种可行方式的完整列表已发布在Mozilla开发者网络,此外Mozilla还提供了一系列参与方法指南。
\\
作者:James Chesters
阅读英文原文:Firefox 46 Tackles Security Issues, Improves Performance
\\
感谢夏雪对本文的审校。
\\
给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号:InfoQChina)关注我们。
Firefox 46解决安全问题,改善性能相关推荐
- 干货丨零知识证明如何解决以太坊性能问题
2月26日21:00,BlockMania AMA 51期继续进行,本期主题为<零知识证明如何解决以太坊性能问题>,分享嘉宾为安比实验室工程师p0n1,他为大家解读了零知识证明在以太坊扩容 ...
- Firefox 40:分析JavaScript性能及其他
Firefox 40 comes with some powerful new tools and interesting shifts in strategy. Read on for the bi ...
- mysql数据更新回退_MySQL 8 事务管理、数据库维护、改善性能
1. 事务处理 并非所有引擎都支持事务处理.MyISAM和InnoDB是两种最常使用的引擎,前者不支持明确的事务处理管理,而后者支持. 事务处理可以用来维护数据库的完整性,它保证成批的MySQL操作要 ...
- OpenAI透露GPT-4动向:文本与视觉融合,人类反馈+强化学习解决安全问题 | AI日报...
图灵奖得主JudeaPearl联手21名学者发表公开信,要求重塑学术界「言论自由」 科学需要「自由」吗?至少,以图灵奖得主Judea Pearl,国际机器学习协会的联合创始人之一Pedro Domin ...
- Firefox 插件解决 LeetCode 海外版自动跳转到中文版问题
Firefox插件解决leetcode海外版时自动跳转到中文版问题 How do I set up uBlock origin? To install Ublock Origin, do the fo ...
- 笨办法学 Python · 续 练习 19:改善性能
练习 19:改善性能 原文:Exercise 19: Improving Performance 译者:飞龙 协议:CC BY-NC-SA 4.0 自豪地采用谷歌翻译 这几乎完全是视频练习,其中我演示 ...
- Apache Mnemonic成为Apache顶级项目,主要解决大数据性能问题
近日,Apache软件基金会宣布,Apache Mnemonic从Apache孵化器中毕业成为顶级项目. Apache Mnemonic是一个用于处理和分析链接对象的开源对象平台,旨在解决大数据性能问 ...
- MySQL数据库如何管理与维护_MySQL安全管理、数据库维护及改善性能
一.安全管理 1.访问控制 MySQL服务器的安全基础:用户对他们需要的数据有适当的访问权. 访问控制:给用户所需的权限且仅提供所需的访问权.它需要创建和管理用户账号. PS:严肃对待root登陆的使 ...
- “汉语编程”是解决安全问题的终极之路?
"汉语编程"是解决安全问题的终极之路? 出处:汉语编程BLOG 文: CIOAge 评论( 0 )条 论坛 博客 导读:眼下,无论多么高级的黑客破密软件,也很难以英文破密的方式来破 ...
最新文章
- 科研指导:机器学习与自然语言处理
- Dreamweaver 8的后台文件传输
- r语言和python-R VS Python:R语言是否真的过时了?
- Axure8.0深入一点(篇)
- EOS 核心功能 (2) nodeos
- netcore 获取本地网络IP地址
- js之上传文件多图片预览
- STP实验(指定特定交换机为根桥)
- 《深入理解计算机网络》读后小记 8、IP地址和子网
- 【React 】基于Antd Design的RadioGroup按钮组控件封装
- Matlab|Simulink打开mdl/slx等文件报错:lnvalid block diagram name supplied. Valid block diagram names ...
- Sublime 快捷键整理
- 江苏大学毕业论文答辩PPT模板
- 最实用的Chrome插件--CSDN浏览器助手使用体验
- 台式计算机大全,电脑品牌大全..3MT产品库
- 苹果开发者中心如何上传构建版本
- Centos 上使用mmsh协议听猫扑网络电台 VLC播放器
- 4G和3G到底有什么区别
- IE浏览器极限提速完全攻略
- 新版Vue项目配置项目名称-publicPath-前端_v1.0.2