Firefox Mozilla: Ενισχύει την ασφάλεια ενάντια σε επιθέσεις code injection

Η Mozilla περιέγραψε λεπτομερώς τις πρόσφατες προσπάθειες της να «σκληρύνει» τον Firefox browser από επιθέσεις code injection.

Στόχος της είναι να καταργήσει τα δυνητικά επικίνδυνα στοιχεία στο βασικό κώδικα του Firefox.

Η κατάργηση των κειμένων έχει σκοπό να βελτιώσει την προστασία του πρωτοκόλλου ‘about’ του Firefox, που είναι πιο γνωστό ως pages.

Υπάρχουν δεκάδες από αυτά τα «pages», τα οποία επιτρέπουν στους χρήστες να κάνουν πράγματα όπως εμφάνιση των networking πληροφοριών, να δουν πώς είναι διαμορφωμένος ο browser και να εξετάσει πως είναι τα εγκατεστημένα plug-ins.

Η Mozilla έχει κάποιες ανησυχίες ότι οι hackers θα μπορούσαν να χρησιμοποιήσουν code injection ώστε να καταχραστούν ένα “config” page.

Αυτές οι σελίδες είναι γραμμένες σε HTML και JavaScript, επομένως μοιράζονται το ίδιο μοντέλο ασφαλείας με τις κανονικές ιστοσελίδες, οι οποίες είναι επίσης ευάλωτες σε επιθέσεις injection code. Ένας επιτιθέμενος θα μπορούσε να εισάγει κώδικα και στη συνέχεια να αλλάξει τις ρυθμίσεις διαμόρφωσης του browser.

Η αντίδραση των δύο τμημάτων σε αυτόν τον κίνδυνο ασφαλείας ήταν να ξαναγραφούν όλοι οι «inline event handlers» και να μετακινηθεί όλο το «inline JavaScript code» σε “packaged files” για όλες τις 45 από τις σελίδες περίπου. Δεύτερον, η Mozilla έθεσε μια “ισχυρή” Πολιτική Ασφάλειας Περιεχομένου για να διασφαλίσει ότι ο κωδικός JavaScript που εγχέεται δεν εκτελείται.

“Η μη επιτρεπόμενη ενσωματωμένη δέσμη ενεργειών σε οποιαδήποτε από τις σελίδες περιορίζει την επιφάνεια επίθεσης της αυθαίρετης εκτέλεσης κώδικα και ως εκ τούτου παρέχει μια ισχυρή πρώτη γραμμή άμυνας ενάντια σε επιθέσεις code injection”, σημειώνει ο Kerschbaumer.

Ένα άλλο μέτρο ενίσχυσης της ασφάλειας αντιμετωπίζει τη λειτουργία eval στο JavaScript, την οποία περιγράφει η Mozilla ως μια “επικίνδυνη λειτουργία” και προειδοποιεί τους προγραμματιστές να μην χρησιμοποιούν ποτέ.

“Το Eval είναι μια επικίνδυνη λειτουργία, η οποία εκτελεί τον κώδικα που έχει περάσει”, εξηγεί η Mozilla στις σημειώσεις υποστήριξης των προγραμματιστών.

Ο Kerschbaumer περιγράφει τη λειτουργία ως ένα “ισχυρό αλλά επικίνδυνο εργαλείο».

Ο σκοπός αυτού του μέτρου είναι να μειώσει την επιφάνεια επίθεσης στον Firefox και να αποθαρρύνει περαιτέρω τη χρήση της λειτουργίας.