Компания Mozilla усовершенствовала защиту пользователей браузера Firefox от кибератак, в ходе которых хакер пытается внедрить вредоносный код. Основное внимание разработчики сосредоточили вокруг удаления потенциально опасных артефактов в исходном коде браузера.
В понятие «артефактов» входят встроенные скрипты и функции типа eval(). За счёт удаления таких кусков кода Mozilla рассчитывает улучшить защиту своих встроенных служебных страниц «about:». Существует больше десятка страниц «about:». Они позволяют пользователям углубиться в конфигурацию браузера, просмотреть установленные плагины и отобразить сетевую информацию.
В компании были обеспокоены возможностью провести атаку инъекции кода с помощью страницы about:config. По словам разработчиков, эта страница раскрывает API для обновления настроек и конфигурации.
Страницы «about:» написаны на HTML и JavaScript. Другими словами, у них те же слабые места, что и у обычных веб-страниц. Злоумышленник может внедрить свой код непосредственно в служебную страницу.
Компания Mozilla внедрила защиту, благодаря которой код JavaScript, внедрённый киберпреступником, больше не будет выполняться.
https://bitdefender.ru/news/mozilla-zashhitila-polzovatelej-firefox-ot-inektsii-koda/
