• IT-Karriere:
  • Services:

Browser: Mozilla härtet Firefox gegen Code-Injection

Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet.

Artikel veröffentlicht am ,
Code-Injection-Angriffe sollen in Firefox erschwert werden.
Code-Injection-Angriffe sollen in Firefox erschwert werden. (Bild: Eric Kilby/Flickr.com/CC-BY-SA 2.0)

Mit Hilfe sogenannter Code-Injection-Lücken können Angreifer ihren eigenen Code im Kontext der angegriffenen Anwendung ausführen. Das Security-Team von Mozilla will dies in seinem Firefox-Browser so weit es geht verhindern und hat dafür einige Änderungen am Browser-Code umgesetzt, die die zuständigen Entwickler nun im Security-Blog des Unternehmens beschreiben.

Stellenmarkt
  1. DB Netz AG, Berlin
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Dabei handele es sich zum einen um Anpassungen an die About-Webseiten von Firefox, die Nutzern und Entwicklern einige Informationen über den Browser selbst liefern. Diese sind mit Webtechniken erstellt und damit möglicherweise eben wie Webseiten auch für Code-Injection-Angriffe anfällig.

Um dies zu verhindern, hat das Team sämtliche Inline-Event-Handler sowie sämtlichen Inline-Javascript-Code in gepackte Dateien verschoben. Über eine Content Security Policy (CSP) führt der Browser in den About-Seiten dann nur diesen gepackten Code aus, aber eben nicht mehr eventuell von Angreifern injizierten Code. Laut dem Blog reduziere dies die Angriffsfläche und sei eine "starke erste Verteidigungslinie gegen Code-Injection-Angriffe".

Eval-Funktion wird eingeschränkt

Zum anderen habe das Team die Verwendung der Funktion eval() in Browser grundsätzlich überarbeitet. Javascript bietet die Möglichkeit, mit dieser Funktion innerhalb von Javascript-Code einen String wiederum als Code auszuführen. Das kann in manchen Fällen nützlich sein, jedoch birgt es auch ein Sicherheitsrisiko.

Laut dem Blog hat das Team nun sämtliche Aufrufe von eval() aus dem Kontext von Systemrechten sowie aus Elternprozessen heraus neu geschrieben. Darüber hinaus soll der Aufruf durch Assertions dauerhaft unterbunden werden. Weitere Details liefert der Blogeintrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-83%) 6,99€
  2. 5€
  3. 27,99€
  4. (-40%) 29,99€

DeVIL-I386 14. Okt 2019

Schon allein wenn man sein Profil man eben als .rar sichern will und auf einem anderen...


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Half-Life Alyx im Test: Der erste und vielleicht letzte VR-Blockbuster
Half-Life Alyx im Test
Der erste und vielleicht letzte VR-Blockbuster

Im zweiten Half-Life war sie eine Nebenfigur, nun ist sie die Heldin: Valve schickt Spieler als Alyx ins virtuelle City 17 - toll gemacht, aber wohl ein Verkaufsflop.
Von Peter Steinlechner

  1. Actionspiel Valve rechnet mit Nicht-VR-Mod von Half-Life Alyx
  2. Half-Life Alyx angespielt Sprung für Sprung durch City 17
  3. Valve Durch Half-Life Alyx geht's laufend oder per Teleport

Next-Gen: Welche neue Konsole darf's denn sein?
Next-Gen
Welche neue Konsole darf's denn sein?

Playstation 5 oder Xbox Series X: Welche Konsole besser wird, wissen wir auch noch nicht. Grundüberlegungen zur Hardware und den Ökosystemen.
Ein IMHO von Peter Steinlechner

  1. Elektroschrott Kauft keine kleinen Konsolen!
  2. IMHO Porsche prescht beim Preis übers Ziel hinaus

Künast-Urteil: Warum Pädophilen-Trulla ein zulässiger Kommentar sein kann
Künast-Urteil
Warum "Pädophilen-Trulla" ein zulässiger Kommentar sein kann

Die Grünen-Politikerin Renate Künast muss weiterhin wüste Beschimpfungen auf Facebook hinnehmen. Wie begründet das Berliner Kammergericht seine Entscheidung?
Eine Analyse von Friedhelm Greis

  1. Kammergericht Berlin Weitere Beleidigungen gegen Künast sind strafbar
  2. Coronavirus Vorerst geringere Videoqualität bei Facebook und Instagram
  3. Netzwerk-Zeit Facebook synchronisiert Zeit im Bereich von Mikrosekunden

    •  /