Google acaba de introducir una nueva función para su navegador Chrome, que debería eliminar, o al menos minimizar, las vulnerabilidades de corrupción de memoria.
Se llama V8 Sandbox y se describe como un "sandbox ligero y en proceso para V8".
Para quienes no lo sepan, V8 es un motor JavaScript y WebAssembly que Google desarrolló para el navegador Chrome. Es gratuito y de código abierto, y forma parte del proyecto Chromium. También se utiliza en otros proyectos no relacionados con el navegador, como el sistema de ejecución Node.js.
Un enfoque esencialmente barato
En un informe técnico publicado recientemente, Google afirma que todos los exploits de Chrome detectados en los últimos tres años (2021 - 2023) comenzaron con una vulnerabilidad de corrupción de memoria en un proceso de renderizado de Chrome que se aprovechó para la ejecución remota de código. La mayoría de estas vulnerabilidades (60%) se encontraron en V8.
Esto motivó al equipo a buscar una solución y, después de casi tres años de construcción, presentaron V8 Sandbox, una herramienta que "ya no se considera una función de seguridad experimental". La herramienta ya está incluida en el Programa de Recompensa de Vulnerabilidades (VRP) de Chrome y en Chrome 123, que podría considerarse "una especie de versión "beta" del sandbox", afirman.
La idea de V8 Sandbox es similar a la de cualquier otro sandbox: todo el código que ejecuta V8 se restringe a un subconjunto del espacio de direcciones virtual del proceso y se aísla del resto del proceso.
En el blog de V8, Samuel Groß, responsable técnico de seguridad, afirma que el enfoque es "fundamentalmente barato": la sobrecarga causada por el sandbox es de alrededor del 1% o menos, según los resultados de Speedometer y JetStream. Eso significa que V8 Sandbox puede activarse por defecto en plataformas compatibles, es decir, Android, ChromeOS, Linux, macOS y Windows.
"V8 Sandbox requiere un sistema de 64 bits, ya que necesita reservar una gran cantidad de espacio de direcciones virtuales, actualmente un terabyte", explica Groß.
Más lecturas interesantes...
