您现在的位置是:首页 > 互联网网站首页互联网

Firefox获得另一项重大安全升级 有助于防止代码注入攻击

  • 互联网
  • 2019-10-15 09:35:26

在Mozilla安全博客上的最新博客文章中,这家Firefox制造商透露了已采取的步骤,即通过使其浏览器更加安全来保护用户免受代码注入攻击。

该公司的平台安全和隐私工程师Christoph Kerschbaumer表示,该公司已通过从Firefox代码库中删除“潜在危险的工具”(包括内联脚本和类似eval()的功能)来增强了其浏览器的性能。

为了改善对Firefox的“关于”协议(通常称为“关于:”页面)的保护,删除了内联脚本。这些关于:页面允许用户执行诸如显示网络信息,查看其浏览器的配置方式以及查看已安装哪些插件的操作。

但是,由于这些about:页面是用HTML和JavaScript编写的,因此它们采用与网页相同的安全性,这也容易受到代码注入攻击。例如,攻击者可以将代码注入about:页面,然后使用它来更改Firefox中的配置设置。

为了帮助保护Firefox用户免受代码注入攻击,Mozilla决定重写其所有内联事件处理程序,并将所有45个about:页面的所有内联JavaScript代码移动到“打包文件”中。该公司还制定了强大的内容安全政策,以确保任何注入的JavaScript代码均无法执行。

Kerschbaumer解释了此新措施如何帮助防止代码注入攻击,他说:

“相反,JavaScript代码仅在使用内部chrome:协议从打包的资源加载后才执行。“ about:”页面中的任何页面均不允许任何内联脚本,这限制了任意代码执行的攻击面,因此为抵御代码注入攻击提供了强大的第一道防线。”

此外,Mozilla还警告开发人员不要使用eval()函数,该函数被描述为“危险函数,该函数以调用者的特权执行传递给它的代码”。通过重写所有类似eval()的函数,该公司进一步减少了Firefox的攻击面。

Top