Browser: Mozilla härtet Firefox gegen Code-Injection

Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet.

Artikel veröffentlicht am ,
Code-Injection-Angriffe sollen in Firefox erschwert werden.
Code-Injection-Angriffe sollen in Firefox erschwert werden. (Bild: Eric Kilby/Flickr.com/CC-BY-SA 2.0)

Mit Hilfe sogenannter Code-Injection-Lücken können Angreifer ihren eigenen Code im Kontext der angegriffenen Anwendung ausführen. Das Security-Team von Mozilla will dies in seinem Firefox-Browser so weit es geht verhindern und hat dafür einige Änderungen am Browser-Code umgesetzt, die die zuständigen Entwickler nun im Security-Blog des Unternehmens beschreiben.

Stellenmarkt
  1. Fachinformatiker (m/w/d)
    Fürst Gruppe, Nürnberg
  2. Projektmanager_in (w/m/d) Digitale Services
    Stadt Frankfurt am Main, Frankfurt am Main
Detailsuche

Dabei handele es sich zum einen um Anpassungen an die About-Webseiten von Firefox, die Nutzern und Entwicklern einige Informationen über den Browser selbst liefern. Diese sind mit Webtechniken erstellt und damit möglicherweise eben wie Webseiten auch für Code-Injection-Angriffe anfällig.

Um dies zu verhindern, hat das Team sämtliche Inline-Event-Handler sowie sämtlichen Inline-Javascript-Code in gepackte Dateien verschoben. Über eine Content Security Policy (CSP) führt der Browser in den About-Seiten dann nur diesen gepackten Code aus, aber eben nicht mehr eventuell von Angreifern injizierten Code. Laut dem Blog reduziere dies die Angriffsfläche und sei eine "starke erste Verteidigungslinie gegen Code-Injection-Angriffe".

Eval-Funktion wird eingeschränkt

Zum anderen habe das Team die Verwendung der Funktion eval() in Browser grundsätzlich überarbeitet. Javascript bietet die Möglichkeit, mit dieser Funktion innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    24.–25. November 2021, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Laut dem Blog hat das Team nun sämtliche Aufrufe von eval() aus dem Kontext von Systemrechten sowie aus Elternprozessen heraus neu geschrieben. Darüber hinaus soll der Aufruf durch Assertions dauerhaft unterbunden werden. Weitere Details liefert der Blogeintrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kickstarter
Die Pibox ist ein Mini-NAS mit Raspberry Pi

Auf Basis des Raspberry Pi CM 4 entsteht die Pibox. Mittels Carrier-Platinen können daran zwei 2,5-Zoll-Laufwerke angeschlossen werden.

Kickstarter: Die Pibox ist ein Mini-NAS mit Raspberry Pi
Artikel
  1. Amazon, Apple, Google: Die EU macht ernst mit der Plattformregulierung
    Amazon, Apple, Google
    Die EU macht ernst mit der Plattformregulierung

    Die stärkere Regulierung von großen IT-Plattformen rückt näher. Die EU-Mitgliedstaaten unterstützen weitgehend die Pläne der EU-Kommission.
    Ein Bericht von Friedhelm Greis

  2. S9U fürs Homeoffice: Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor
    S9U fürs Homeoffice
    Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor

    Der S9U ist Samsungs neuer 32:9-Bildschirm. Er integriert USB-C mit 90 Watt Power Delivery und einen KVM-Switch. Das Panel schafft 120 Hz.

  3. .Net, Games, Displayport: Gute und kostenlose PC-Spiele bei Amazon Prime
    .Net, Games, Displayport
    Gute und kostenlose PC-Spiele bei Amazon Prime

    Sonst noch was? Was am 28. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • Acer 27" FHD 165Hz 191,59€ • PS5 Digital + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Switch OLED + Metroid Dread 399€ • Kingston 1TB PCIe 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate (u. a. Apacer 960GB SATA 82,90€) [Werbung]
    •  /