Mozilla усилила защиту пользователей браузера Firefox от атак, в ходе которых злоумышленник пытается внедрить вредоносный код.
Основной фокус разработчиков интернет-обозревателя был построен вокруг удаления «потенциально опасных артефактов» в исходном коде Firefox.
В понятие «артефактов» входят встроенные скрипты и функции типа eval().
За счёт удаления таких кусков кода Mozilla рассчитывает улучшить защиту своих встроенных служебных страниц «about:».
Как вы наверняка знаете, существует больше десятка страниц «about:».
Они позволяют пользователям углубиться в конфигурацию браузера, просмотреть установленные плагины и отобразить сетевую информацию.
Mozilla была обеспокоена возможностью провести атаку инъекции кода с помощью страницы about:config.
По словам разработчиков, эта страница «раскрывала API для обновления настроек и конфигурации».
Страницы «about:» написаны на HTML и JavaScript. Другими словами, у них те же слабые места, что и у обычных веб-страниц.
Атакующий может внедрить свой код непосредственно в служебную страницу.
Mozilla внедрила защиту, благодаря которой теперь код JavaScript, внедрённый злоумышленником, не будет выполняться.
Источник: https://www.anti-malware.ru/news/2019-10-15-1447/31050