Firefox獲得另一項重大安全升級 有助于防止代碼注入攻擊

在Mozilla安全博客上的最新博客文章中，這家Firefox制造商透露了已采取的步驟，即通過使其瀏覽器更加安全來保護(hù)用戶免受代碼注入攻擊。

該公司的平臺安全和隱私工程師Christoph Kerschbaumer表示，該公司已通過從Firefox代碼庫中刪除“潛在危險的工具”(包括內(nèi)聯(lián)腳本和類似eval()的功能)來增強(qiáng)了其瀏覽器的性能。

為了改善對Firefox的“關(guān)于”協(xié)議(通常稱為“關(guān)于：”頁面)的保護(hù)，刪除了內(nèi)聯(lián)腳本。這些關(guān)于：頁面允許用戶執(zhí)行諸如顯示網(wǎng)絡(luò)信息，查看其瀏覽器的配置方式以及查看已安裝哪些插件的操作。

但是，由于這些about：頁面是用HTML和JavaScript編寫的，因此它們采用與網(wǎng)頁相同的安全性，這也容易受到代碼注入攻擊。例如，攻擊者可以將代碼注入about：頁面，然后使用它來更改Firefox中的配置設(shè)置。

為了幫助保護(hù)Firefox用戶免受代碼注入攻擊，Mozilla決定重寫其所有內(nèi)聯(lián)事件處理程序，并將所有45個about：頁面的所有內(nèi)聯(lián)JavaScript代碼移動到“打包文件”中。該公司還制定了強(qiáng)大的內(nèi)容安全政策，以確保任何注入的JavaScript代碼均無法執(zhí)行。

Kerschbaumer解釋了此新措施如何幫助防止代碼注入攻擊，他說：

“相反，JavaScript代碼僅在使用內(nèi)部chrome：協(xié)議從打包的資源加載后才執(zhí)行。“ about：”頁面中的任何頁面均不允許任何內(nèi)聯(lián)腳本，這限制了任意代碼執(zhí)行的攻擊面，因此為抵御代碼注入攻擊提供了強(qiáng)大的第一道防線。”

此外，Mozilla還警告開發(fā)人員不要使用eval()函數(shù)，該函數(shù)被描述為“危險函數(shù)，該函數(shù)以調(diào)用者的特權(quán)執(zhí)行傳遞給它的代碼”。通過重寫所有類似eval()的函數(shù)，該公司進(jìn)一步減少了Firefox的攻擊面。