Mozilla усилила защиту пользователей браузера Firefox от атак, в ходе которых злоумышленник пытается внедрить вредоносный код. Основной фокус разработчиков интернет-обозревателя был построен вокруг удаления «потенциально опасных артефактов» в исходном коде Firefox.
В понятие «артефактов» входят встроенные скрипты и функции типа eval(). За счёт удаления таких кусков кода Mozilla рассчитывает улучшить защиту своих встроенных служебных страниц «about:».
Как вы наверняка знаете, существует больше десятка страниц «about:». Они позволяют пользователям углубиться в конфигурацию браузера, просмотреть установленные плагины и отобразить сетевую информацию.
Mozilla была обеспокоена возможностью провести атаку инъекции кода с помощью страницы about:config. По словам разработчиков, эта страница «раскрывала API для обновления настроек и конфигурации».
Страницы «about:» написаны на HTML и JavaScript. Другими словами, у них те же слабые места, что и у обычных веб-страниц. Атакующий может внедрить свой код непосредственно в служебную страницу.
Mozilla внедрила защиту, благодаря которой теперь код JavaScript, внедрённый злоумышленником, не будет выполняться.
