Les développeurs de Mozilla ont renforcé la protection de Firefox contre les attaques par injection de code en interdisant l'utilisation de scripts en ligne et d'évaluations.() fonctions sur les pages de service du navigateur. Les innovations ne permettront pas aux attaquants d'exécuter une commande malveillante, modifier les paramètres du navigateur et voler des données importantes.
Les deux options, qui ont été retirés par des experts, permettre d'exécuter du code dans le contexte de l'application avec son niveau de privilège. Selon Christophe Kerschbaumer, Responsable technique de la sécurité du contenu chez Mozilla, les nouvelles mesures visent à réduire la zone d'attaque potentielle – les attaquants auront désormais moins de possibilités d'abuser des capacités du navigateur.
Christophe Kerschbaumer
« Un moyen efficace et éprouvé de contrer les attaques par injection de code consiste à réduire la surface d'attaque en supprimant les artefacts potentiellement dangereux de la base de code et en renforçant ainsi le code à différents niveaux.. Pour rendre Firefox résilient face à de telles attaques par injection de code, nous avons supprimé les occurrences de scripts en ligne ainsi que eval()-comme des fonctions », — écrit Christophe Kerschbaumer.
Firefox a 45 intégré à propos de: pages de services, dont beaucoup donnent accès à des données techniques importantes. Par exemple, à propos: config permet à l'utilisateur de modifier les paramètres clés du navigateur, à propos: mémoire, il peut surveiller la consommation de mémoire, à propos: la mise en réseau affiche des informations sur le réseau.
Toutes ces pages sont écrites en HTML et JavaScript. Donc, un attaquant peut tenter d'y injecter son propre code, qui sera ensuite exécuté avec les mêmes droits avec lesquels Firefox fonctionne. L'exclusion des scripts en ligne et des fonctions d'évaluation bloque une telle menace.
Lire aussi: Google a trouvé comment forcer les sites à passer au HTTPS
Désormais, tout le code JavaScript ne sera exécuté que s'il a été téléchargé via le protocole interne du navigateur.. Pour faire ça, Les développeurs de Mozilla ont réécrit tous les gestionnaires d'événements et transféré les scripts JavaScript intégrés dans des fichiers compressés pour toutes les pages de service.. En outre, la possibilité d'exécuter des fonctions d'évaluation et similaires dans le contexte de tout processus exécuté avec les privilèges système a été exclue.
Les spécialistes ont également prévu quelques exceptions aux nouvelles règles.
"Certains utilisateurs utilisent un appel de fonction d'évaluation externe pour personnaliser Firefox au démarrage du navigateur.. Cela le remplace par le composant userChrome.js, qui a été bloqué il y a quelque temps pour des raisons de sécurité. Dans ce cas, le nouveau bloqueur permettra l'exécution d'eval()”, – explique Christoph Kerschbaumer.
Les modifications n'affecteront pas l'affichage des sites Internet dans Firefox. En même temps, les développeurs ont l'intention de surveiller, comment les fonctions potentiellement dangereuses sont utilisées dans les extensions et plug-ins tiers. Si les attaquants trouvent une nouvelle façon d'utiliser ces commandes, le navigateur enverra des notifications à l'équipe de sécurité de Mozilla.
Laissez un commentaire