熱門UI設計工具Figma的擴充套件存在漏洞,官方抽換底層基礎架構

   信息來源:HmPbyRdhs

UI設計工具Figma最近才發布的擴充套件系統,就發現其應用的沙盒技術RealmsShim存在數個漏洞,這些漏洞可能使代碼逃脫沙盒,雖然經過官方的檢查,沒有發現任何Figma套件曾經利用漏洞的跡象,但為了安全起見,官方更換了整個套件系統的底層架構,確保類似的問題不會再發生。

官方提到,Figma套件系統的漏洞一部分是在GitHub的公開議題(Issue)上揭露,另一部分則是以私密的GitHub安全通報發布,Realms Shim技術的開發廠商Agoric在發現漏洞的第一時間,通知了所有使用RealmsShim的開發團隊,由于第一個漏洞在GitHub公開揭露,Agoric當天隨即修補問題,Figma也更新了Figma擴充套件系統的Realms Shim版本。

而剩下在GitHub安全通報揭露的漏洞,則只有少數的組織才可以存取,他們與Agoric合作,花了一個星期修復漏洞,同時確保漏洞的資訊沒有公開,并且仔細審核推出的套件,尋找可能利用漏洞的Figma擴充套件。

雖然完成了Realms Shim的漏洞修補工作,但是官方提到,他們為了安全起見,還是修改了擴充套件執行JavaScript代碼的方式,不再使用Realms Shim,而是使用QuickJS,這是一種以C語言撰寫,并交叉編譯成WebAssembly的JavaScript VM,這原本是作為當RealmsShim方法不可用時的替代方案,而現在Figma透過切換基礎架構快速的啟用備份計劃。

Figma提到,這次Realms Shim漏洞發生的原因,在于Realms Shim搞混了沙盒內部物件以及外部物件,因此Realms Shim對所有JavaScript代碼使用相同的VM,而新的實作就完全不會有這樣的問題,因為是編譯成WebAssembly的JavaScriptVM,就不可能有將內外物件搞混的狀況,因為物件表達的形式完全不同。

而Figma選用Realms Shim技術的原因,是因為Realms Shim性能出色,而且讓擴充套件除錯工作變得簡單,由于在Realms Shim中的代碼仍然使用瀏覽器的JavaScriptVM,因此執行速度就跟一般的JavaScript一樣。Figma表示,雖然替代方案QuickJS會影響部分擴充套件的性能,但是本質上卻更安全。

資料來源:iThome Security


賣身,王大陸陷解約門,我有山海經,汪昱 何婷婷,田軍校,分區助手專業版,叢林大亂斗,孔菁蘋,魅族m8主題下載,詩佩德,李娜疑自曝懷二胎,李瑞海的哥哥,qq飛車快樂幸運彩盒,栗小兵,雙刃勇士,遲華東,至尊學校,完美江湖官網,康熙來了20081110,微微一吻到天荒,徐至琦小光碟,妙偶天成 冬天的柳葉 小說,loward的日志朱鎔基,陳禹而,越南新娘集體失蹤,殤小雨,逍遙魔尊異界游下載,楊添茸胸圍,異界之魔武雙修,我的靈魂在古代,朵蝶網,過路司機抬車救人,孔藝萌,笨笨卡盟,卡拉巨龍,2995500,墨跡天氣電腦版,蔡道行,三國歷史小說,造爆竹致13人亡,私立馬鹿蘭高校,軍長的隱婚嬌妻,王牌進化txt,方賢民,傲群視頻會議系統,重生之嫡妻不好欺,楊連慧,elin 郭曉雯,天下崢嶸,瀧下毅,陰陽師瑩草御魂,茉莉清茶十二星座,小嬰兒逃出系列3,梁伯琪,芭比寶貝向前沖,音調女裝,最美高富帥,快穿之炮灰不傷悲,智行火車票電腦版,悍妃 本王殺了你,高科技軍閥,嫁做將軍妻,紅狼gm論壇,法師故事2,主題醫院3,巫婆造美女,召喚全面戰爭,黃勝最新消息,極品貪婪,史上第一私服,神武詠弓詩句,重返三百年,母皇降臨,男子高速上長跪求婚,歡迎愛光臨黃子韜,16fun,軍王獵妻之魔眼小神醫,caipu789大全,esport007,蘭若靜云,葛佳惠,飄渺邪神,夜貓族的異想,詹伯a奧特曼,重生之紈绔大少,王境澤生成器,馬特拉齊巴洛特利,裘曉君,吞食天地2復刻版,百吉頭,能穿越的修行者,四川日報招標比選網,沃格斯碎片怪在哪,貧乏姊妹物語,voiceao,大富翁9簡體中文版,煽動者布萊卡特,7777.no.tc,偶游dota,增大增粗選新活睪因子,

生辰八字起名字 http://www.bbqmw.net/qm_scbzqmz/
蜘蛛池