Firefox İnjection Saldırılarına Karşı Dahili Sayfalarda İnline & Eval Javascript Kodlarını Blokluyor.

firefox-injection


Firefox'ta potansiyel siteler arası komut dosyası çalıştırma sorununu azaltmak için Mozilla, tüm satır içi komut dosyalarının ve hassas tercihlere açılan giriş noktası olan yerleşik "yaklaşık: sayfalar" için potansiyel olarak tehlikeli değerlendirme işlevlerinin yürütülmesini engelledi.

Firefox tarayıcısı, bazıları aşağıda listelenen ve  aşağıda listelenen sayfalarda yerel olarak barındırılan 45 dahili dosyaya sahiptir:


  • about:config — panel to modify Firefox preferences and critical settings.
  • about:downloads — your recent downloads done within Firefox.
  • about:memory — shows the memory usage of Firefox.
  • about:newtab — the default new tab page.
  • about:plugins — lists all your plugins as well as other useful information.
  • about:privatebrowsing — open a new private window.
  • about:networking — displays networking information.

Dikkat edilmesi gereken, bu değişikliklerin Internet'teki web sitelerinin Firefox tarayıcısında çalışma şeklini etkilememesi, ancak ileriye dönük olarak Mozilla, üçüncü taraf uzantılarında ve diğer yerleşik mekanizmalarda zararlı işlevlerin kullanımını "yakından denetleme ve değerlendirme" sözü verdi.


Firefox Devre Dışı Güvenlik için Inline JavaScript


Tüm bu sayfalar HTML / JavaScript’te yazıldığından ve tarayıcının güvenlik bağlamında oluşturulduğundan, güvenlik açığı durumunda uzaktaki saldırganların adına rasgele kod girmesine ve yürütmesine izin verebilir.

Bunu başarmak için Mozilla, tüm satır içi olay işleyicilerini yeniden yazmak ve tüm satır içi JavaScript kodunu yaklaşık 45 sayfa için paketlenmiş dosyalara taşımak zorunda kaldı.

NO EVAL, NO EVIL!

Saldırganlar doğrudan komut dosyası enjekte edemedikleri zaman, kod uygulamalarını elde etmek için hedef uygulamaları kandırmak için çalıştırılabilir bir JavaScript'e dönüştürmek amacıyla JavaScript işlevini () ve benzer yöntemleri kullanırlar.


Bu nedenle, satır içi komut dosyalarına ek olarak Mozilla, tarayıcı yapıcısının kendisiyle aynı güvenlik bağlamında rasgele bir dize ayrıştırıp çalıştırdığı için başka bir "tehlikeli araç" olduğunu düşündüğü değerlendirme benzeri işlevleri de kaldırmış ve engellemiştir.


Google, teknoloji devinin dediği gibi, "değerlendirme bir uzantı için tehlikeli, çünkü gerçekleştirdiği kod uzantının yüksek izinli ortamındaki her şeye erişebiliyor çünkü" aynı düşünceyi paylaşıyor.


Mozilla, değerlendirme benzeri işlevlerin tüm kullanımını, sistem ayrıcalıklı bağlamlarından ve ana işlemden, Firefox web tarayıcısının kod tabanında yeniden yazdı.


Bunun yanı sıra şirket, eval () işlevinin ve yakınlarının sistem ayrıcalıklı senaryo bağlamlarında kullanılmasına izin vermeyen eval.) iddialarını ekledi ve Mozilla Güvenlik Ekibini henüz bilinmeyen değerlendirme örnekleri hakkında bilgilendirdi.

thehackernews'dan alıntıdır.

Hiç yorum yok: