• IT-Karriere:
  • Services:

Browser: Mozilla härtet Firefox gegen Code-Injection

Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet.

Artikel veröffentlicht am ,
Code-Injection-Angriffe sollen in Firefox erschwert werden.
Code-Injection-Angriffe sollen in Firefox erschwert werden. (Bild: Eric Kilby/Flickr.com/CC-BY-SA 2.0)

Mit Hilfe sogenannter Code-Injection-Lücken können Angreifer ihren eigenen Code im Kontext der angegriffenen Anwendung ausführen. Das Security-Team von Mozilla will dies in seinem Firefox-Browser so weit es geht verhindern und hat dafür einige Änderungen am Browser-Code umgesetzt, die die zuständigen Entwickler nun im Security-Blog des Unternehmens beschreiben.

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt am Main, München
  2. bio verlag gmbh, Aschaffenburg

Dabei handele es sich zum einen um Anpassungen an die About-Webseiten von Firefox, die Nutzern und Entwicklern einige Informationen über den Browser selbst liefern. Diese sind mit Webtechniken erstellt und damit möglicherweise eben wie Webseiten auch für Code-Injection-Angriffe anfällig.

Um dies zu verhindern, hat das Team sämtliche Inline-Event-Handler sowie sämtlichen Inline-Javascript-Code in gepackte Dateien verschoben. Über eine Content Security Policy (CSP) führt der Browser in den About-Seiten dann nur diesen gepackten Code aus, aber eben nicht mehr eventuell von Angreifern injizierten Code. Laut dem Blog reduziere dies die Angriffsfläche und sei eine "starke erste Verteidigungslinie gegen Code-Injection-Angriffe".

Eval-Funktion wird eingeschränkt

Zum anderen habe das Team die Verwendung der Funktion eval() in Browser grundsätzlich überarbeitet. Javascript bietet die Möglichkeit, mit dieser Funktion innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko.

Laut dem Blog hat das Team nun sämtliche Aufrufe von eval() aus dem Kontext von Systemrechten sowie aus Elternprozessen heraus neu geschrieben. Darüber hinaus soll der Aufruf durch Assertions dauerhaft unterbunden werden. Weitere Details liefert der Blogeintrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 53,99€
  2. 3,61€
  3. (-20%) 39,99€
  4. 1,99€

DeVIL-I386 14. Okt 2019 / Themenstart

Schon allein wenn man sein Profil man eben als .rar sichern will und auf einem anderen...

Kommentieren


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

    •  /