Mozilla-Entwickler haben den Schutz von Firefox vor Code-Injection-Angriffen verstärkt, indem sie die Verwendung von Inline-Skripten und Auswertungen verboten haben() Funktionen auf Browser-Service-Seiten. Innovationen werden es Angreifern nicht ermöglichen, einen böswilligen Befehl auszuführen, Ändern Sie die Browsereinstellungen und stehlen Sie wichtige Daten.
Beide Optionen, die von Experten entfernt wurden, Ermöglicht die Ausführung von Code im Kontext der Anwendung mit seiner Berechtigungsstufe. Entsprechend Christoph Kerschbaumer, Mozillas technischer Sicherheitsmanager für Inhalte, Die neuen Maßnahmen zielen darauf ab, die potenzielle Angriffsfläche zu verringern – Jetzt haben Angreifer weniger Möglichkeiten, die Browserfunktionen zu missbrauchen.
Christoph Kerschbaumer
„Eine nachweislich wirksame Möglichkeit, Code-Injection-Angriffen entgegenzuwirken, besteht darin, die Angriffsfläche zu verringern, indem potenziell gefährliche Artefakte in der Codebasis entfernt und so der Code auf verschiedenen Ebenen gehärtet wird. Um Firefox gegen solche Code-Injection-Angriffe widerstandsfähig zu machen, Wir haben Vorkommen von Inline-Skripten sowie die Auswertung entfernt()-wie Funktionen“, — schreibt Christoph Kerschbaumer.
Firefox hat 45 eingebaut ca: Serviceseiten, Viele davon ermöglichen den Zugriff auf wichtige technische Daten. Zum Beispiel, um: config ermöglicht es dem Benutzer, wichtige Browsereinstellungen zu ändern, um: Erinnerung, Er kann den Speicherverbrauch überwachen, um: Netzwerk zeigt Informationen über das Netzwerk an.
Alle diese Seiten sind in HTML und JavaScript geschrieben. daher, Ein Angreifer kann versuchen, seinen eigenen Code in sie einzuschleusen, die dann mit den gleichen Rechten ausgeführt wird, mit denen Firefox arbeitet. Der Ausschluss von Inline-Skripten und Evaluierungsfunktionen verhindert eine solche Bedrohung.
Lesen Sie auch: Google hat herausgefunden, wie man die Umstellung von Websites auf HTTPS erzwingen kann
Jetzt wird der gesamte JavaScript-Code nur dann ausgeführt, wenn er über das interne Protokoll des Browsers heruntergeladen wurde. Um dies zu tun, Die Mozilla-Entwickler haben alle Event-Handler neu geschrieben und die integrierten JavaScript-Skripte in gepackte Dateien für alle Serviceseiten übertragen. Zusätzlich, Die Möglichkeit, Auswertungen und ähnliche Funktionen im Kontext eines Prozesses auszuführen, der mit Systemprivilegien ausgeführt wird, wurde ausgeschlossen.
Fachleute haben auch einige Ausnahmen von den neuen Regeln vorgesehen.
„Einige Benutzer verwenden einen externen Eval-Funktionsaufruf, um Firefox beim Start des Browsers anzupassen. Dadurch wird es durch die Komponente userChrome.js ersetzt, die vor einiger Zeit aus Sicherheitsgründen gesperrt wurde. In diesem Fall, Der neue Blocker ermöglicht die Ausführung von eval()”, – explained Christoph Kerschbaumer.
Änderungen wirken sich nicht auf die Anzeige von Internetseiten in Firefox aus. Gleichzeitig, Entwickler wollen überwachen, wie potenziell gefährliche Funktionen in Erweiterungen und Plug-Ins von Drittanbietern verwendet werden. Wenn Angreifer einen neuen Weg finden, diese Befehle zu nutzen, Der Browser sendet Benachrichtigungen an das Mozilla-Sicherheitsteam.
Hinterlasse einen Kommentar