Mozilla sichert den Firefox gegen Angriffe durch Injektionen weiter ab – Erlaubt aber Ausnahmen

Heute hat Mozilla bekanntgegeben, dass man den Firefox gegen Code Injection-Angriffe weiter absichern will. Speziell geht es hier zum Beispiel eval()-ähnliche Funktionen. Diese wurden zum Beispiel in allen about: Seiten eingesetzt.

Ein Angreifer hatte so die Möglichkeit schädlichen Code in eine solche about: Seite einzubinden, die es ihm dann erlaubt den eingegebenen Skriptcode im Rahmen der Sicherheit des Browsers selbst auszuführen, so dass der Angreifer beliebige Aktionen im Namen des Benutzers durchführen kann.

Alle diese 45 about: Seiten wurden nun neu geschrieben und gepackt, sodass injizierter JavaScript-Code nicht mehr ausgeführt werden kann. Dadurch wurde verhindert, dass die eval()-Funktionen nicht mehr ausgeführt werden können. „Zusätzlich haben wir Anweisungen hinzugefügt, die die Verwendung von eval() und seiner Verwandten in systemprivilegierten Skriptkontexten untersagen.“

Nachdem Mozilla die userChrome.js auch aus Sicherheitsgründen aus dem Browser geworfen hat, wurden andere Tricks im Netz erstellt, die eben auch mit eval() arbeiten. Hier hat Mozilla aber ein nachsehen mit den Nutzern: „Wenn wir feststellen, dass der Benutzer solche Tricks aktiviert hat, deaktivieren wir unseren Sperrmechanismus und erlauben die Verwendung von eval().“

Das Security Team wird auch weiter im blog.mozilla.org/security darüber berichten. Wer sich den kompletten Beitrag durchlesen möchte, findet diesen hier.

Mozilla sichert den Firefox gegen Angriffe durch Injektionen weiter ab – Erlaubt aber Ausnahmen
weitere Artikel zu diesem Thema
zu den aktuellen News

Ein Kommentar zu “Mozilla sichert den Firefox gegen Angriffe durch Injektionen weiter ab – Erlaubt aber Ausnahmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.