快速提升Firefox安全性

在Mozilla，我们坚信开放网络应该是安全可用的。为此，我们不断改进和维护全球Firefox用户的安全性。这包括在应对现实世界中的安全漏洞方面有着良好的记录，特别是通过Pwn2Own等漏洞赏金计划。一旦我们在Firefox中发现关键安全问题，我们就会计划并快速发布修复程序。本文描述了最近我们如何在Pwn2Own中发现漏洞后不到21小时内修复该漏洞，这一成功得益于全球跨职能团队（包括发布和QA工程师、安全专家及其他利益相关者）的协作和良好协调。

背景介绍

Pwn2Own是一年一度的计算机黑客竞赛，参赛者旨在发现浏览器等主要软件中的安全漏洞。两周前，该活动在加拿大温哥华举行，参赛者研究了从Chrome、Firefox和Safari到MS Word甚至当前在您汽车上运行的代码等一切内容。本文不会深入探讨漏洞的技术细节，而是描述Mozilla如何快速响应并为Pwn2Own期间发现的漏洞发布更新版本。

为了让您了解规模，Firefox是一个庞大的软件：超过3000万行代码，六个平台（Windows 32位和64位、GNU/Linux 32位和64位、Mac OS X和Android），90种语言，以及安装程序、更新程序等。发布这样一个庞然大物需要协调全球许多跨职能团队。

Pwn2Own活动的时间是提前几周知道的，因此Mozilla总是在活动到来时做好准备！Firefox火车发布日历考虑了Pwn2Own的时间安排。我们尽量避免在Pwn2Own同一天向发布渠道的最终用户发布新版本的Firefox，以避免多次更新紧密相连。这也意味着，一旦我们知道发现了哪些漏洞（如果有的话），我们就准备好发布修补版本的Firefox。

发生了什么？

在Pwn2Own中披露的特定漏洞由两个错误组成，这是在典型的网页内容在浏览器沙箱中呈现时的必要条件：这两个复杂的漏洞需要大量的努力来揭示和利用。然而，一旦发现，Mozilla工程师立即开始工作，在21小时内发布了新版本！我们当然不是唯一被“攻破”的浏览器，但我们是第一个修补漏洞的浏览器。没错：在您知道这个漏洞之前，我们已经保护了您免受其害。

尽管这可能听起来很可怕，但沙箱逃逸（像许多网络浏览器漏洞一样）是所有浏览器都常见的问题，这要归功于互联网的不断演变。Firefox开发人员总是渴望尽快发现和解决这些安全问题，以确保我们的用户保持安全。我们通过持续发布新的缓解措施（如win32k锁定、站点隔离）、投资安全模糊测试以及为类似逃逸提供漏洞赏金来实现这一目标。为了开放和透明，我们还持续邀请并奖励分享最新攻击的安全研究人员，这有助于我们在没有Pwn2Own参与时也能保持产品安全。

相关资源

如果您有兴趣了解更多关于Mozilla安全计划或Firefox安全的信息，以下是一些资源可以帮助您入门：

• Mozilla安全
• Mozilla安全博客
• 漏洞赏金计划
• Mozilla安全YouTube播放列表

此外，如果您想开始自己的Firefox安全研究，我们邀请您关注我们的深度技术博客“攻击与防御——Firefox安全内部：面向工程师、研究人员和赏金猎人”。

过去的Pwn2Own博客：https://hacks.mozilla.org/2018/03/shipping-a-security-update-of-firefox-in-less-than-a-day/