• IT-Karriere:
  • Services:

Browser: Mozilla härtet Firefox gegen Code-Injection

Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet.

Artikel veröffentlicht am ,
Code-Injection-Angriffe sollen in Firefox erschwert werden.
Code-Injection-Angriffe sollen in Firefox erschwert werden. (Bild: Eric Kilby/Flickr.com/CC-BY-SA 2.0)

Mit Hilfe sogenannter Code-Injection-Lücken können Angreifer ihren eigenen Code im Kontext der angegriffenen Anwendung ausführen. Das Security-Team von Mozilla will dies in seinem Firefox-Browser so weit es geht verhindern und hat dafür einige Änderungen am Browser-Code umgesetzt, die die zuständigen Entwickler nun im Security-Blog des Unternehmens beschreiben.

Stellenmarkt
  1. NOVENTI HealthCare GmbH, München
  2. Dataport, Bremen, Magdeburg, Hamburg

Dabei handele es sich zum einen um Anpassungen an die About-Webseiten von Firefox, die Nutzern und Entwicklern einige Informationen über den Browser selbst liefern. Diese sind mit Webtechniken erstellt und damit möglicherweise eben wie Webseiten auch für Code-Injection-Angriffe anfällig.

Um dies zu verhindern, hat das Team sämtliche Inline-Event-Handler sowie sämtlichen Inline-Javascript-Code in gepackte Dateien verschoben. Über eine Content Security Policy (CSP) führt der Browser in den About-Seiten dann nur diesen gepackten Code aus, aber eben nicht mehr eventuell von Angreifern injizierten Code. Laut dem Blog reduziere dies die Angriffsfläche und sei eine "starke erste Verteidigungslinie gegen Code-Injection-Angriffe".

Eval-Funktion wird eingeschränkt

Zum anderen habe das Team die Verwendung der Funktion eval() in Browser grundsätzlich überarbeitet. Javascript bietet die Möglichkeit, mit dieser Funktion innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko.

Laut dem Blog hat das Team nun sämtliche Aufrufe von eval() aus dem Kontext von Systemrechten sowie aus Elternprozessen heraus neu geschrieben. Darüber hinaus soll der Aufruf durch Assertions dauerhaft unterbunden werden. Weitere Details liefert der Blogeintrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. 419,00€ (Bestpreis!)

DeVIL-I386 14. Okt 2019 / Themenstart

Schon allein wenn man sein Profil man eben als .rar sichern will und auf einem anderen...

Kommentieren


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

    •  /