Mozilla усилила защиту пользователей Firefox от вредоносного кода

FirefoxИнформационная безопасностьJavaScriptБраузеры
imageФото: Doug Belshaw/Flickr

Mozilla расширила защиту пользователей браузера Firefox от атак с попытками внедрения вредоносного кода. Разработчики сосредоточились на удалении «потенциально опасных артефактов» в исходном коде Firefox.

Под артефактами подразумеваются встроенные скрипты и функции типа eval(). Mozilla рассчитывает улучшить защиту встроенных служебных страниц «about:» за счет удаления таких кусков кода.

Всего насчитывается 45 страниц «about:», которые позволяют пользователям углубиться в конфигурацию браузера, а также просмотреть установленные плагины и отобразить сетевую информацию. Разработчиков беспокоила возможность провести инъекцию кода с помощью страницы about:config, позволяющей пользователям адаптировать свой Firefox к конкретным потребностям, так как страница «раскрывала API для обновления настроек и конфигурации».

Страницы «about:» написаны на HTML и JavaScript и имеют те же слабые места, что и обычные веб-страницы, то есть хакер может внедрить свой код непосредственно в служебную страницу и выполнять действия от имени пользователя. Однако Mozilla ввела защиту, которая запрещает выполнять код JavaScript, внедренный злоумышленником. Весь встроенный код JavaScript переместили в упакованные файлы для всех страниц about:. Код JavaScript выполняется только при загрузке из упакованного ресурса с использованием внутреннего протокола chrome:.

«Доказанно эффективный способ противодействия атакам путем внедрения кода заключается в уменьшении поверхности атаки путем удаления потенциально опасных артефактов в базе кода и, следовательно, упрочнения кода на различных уровнях», — отметили в компании.

Чтобы еще больше минимизировать поверхность атаки в Firefox, разработчики переписали все использование eval()-подобных функций из системных привилегированных контекстов и из родительского процесса в кодовой базе Firefox. Кроме того, были добавлены утверждения, запрещающие использование eval() в контекстах сценариев с системными привилегиями. Введенные утверждения будут продолжать информировать команду безопасности Mozilla о еще неизвестных экземплярах eval().

В сентябре Mozilla объявила о решении включить по умолчанию протокол DoH (DNS-over-HTTPS) в одной из следующих версий браузера Firefox. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет открытые DNS-запросы, по которым злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.
Теги:mozilla firefoxjavascriptхакерыeval
Хабы: Firefox Информационная безопасность JavaScript Браузеры
+16
4,6k 4
Комментарии 10

Похожие публикации

Javascript разработчик
от 130 000 до 180 000 ₽ArtezioНижний Новгород
Javascript разработчик
от 160 000 до 220 000 ₽ArtezioМосква
Team lead JavaScript developer
от 180 000 ₽HolyWebМожно удаленно
JavaScript Fullstack developer
от 80 000 до 150 000 ₽IntspiritКраснодарМожно удаленно
JavaScript разработчик
от 150 000 до 200 000 ₽SportrecsМоскваМожно удаленно

Лучшие публикации за сутки