Heute hat Mozilla bekanntgegeben, dass man den Firefox gegen Code Injection-Angriffe weiter absichern will. Speziell geht es hier zum Beispiel eval()-ähnliche Funktionen. Diese wurden zum Beispiel in allen about: Seiten eingesetzt.
Ein Angreifer hatte so die Möglichkeit schädlichen Code in eine solche about: Seite einzubinden, die es ihm dann erlaubt den eingegebenen Skriptcode im Rahmen der Sicherheit des Browsers selbst auszuführen, so dass der Angreifer beliebige Aktionen im Namen des Benutzers durchführen kann.
Alle diese 45 about: Seiten wurden nun neu geschrieben und gepackt, sodass injizierter JavaScript-Code nicht mehr ausgeführt werden kann. Dadurch wurde verhindert, dass die eval()-Funktionen nicht mehr ausgeführt werden können. „Zusätzlich haben wir Anweisungen hinzugefügt, die die Verwendung von eval() und seiner Verwandten in systemprivilegierten Skriptkontexten untersagen.“
Nachdem Mozilla die userChrome.js auch aus Sicherheitsgründen aus dem Browser geworfen hat, wurden andere Tricks im Netz erstellt, die eben auch mit eval() arbeiten. Hier hat Mozilla aber ein nachsehen mit den Nutzern: „Wenn wir feststellen, dass der Benutzer solche Tricks aktiviert hat, deaktivieren wir unseren Sperrmechanismus und erlauben die Verwendung von eval().“
Das Security Team wird auch weiter im blog.mozilla.org/security darüber berichten. Wer sich den kompletten Beitrag durchlesen möchte, findet diesen hier.
D.h.?
Wann oder wie wird diese neue Sicherheit ausgeliefert.
Schaltet Mozilla unbemerkt Serverseitig was ab oder kommt dann der Firefox mit einem Update bzw. ist es in der nächsten Version – das hab ich nicht ganz rausfinden können.