Dans une récente publication sur le blog de sécurité de Mozilla, le fabricant de Firefox a révélé les mesures prises pour protéger les utilisateurs contre les attaques par injection de code en renforçant la sécurité de son navigateur.
La société a durci son navigateur en supprimant les «artifiacts potentiellement dangereux» de la base de code de Firefox, y compris les scripts en ligne et les fonctions de type eval (), selon l’ingénieur en sécurité et confidentialité de la plate-forme de la société, Christoph Kerschbaumer.
Les scripts inline ont été supprimés dans le but d'améliorer la protection du protocole «à propos de» de Firefox, souvent appelé «pages». Ces pages sur: permettent aux utilisateurs d’afficher des informations sur le réseau, de visualiser la configuration de leur navigateur et de connaître les plug-ins installés.
Cependant, puisque ces informations sur: les pages sont écrites en HTML et JavaScript, elles utilisent la même sécurité que celle utilisée par les pages Web, qui sont également vulnérables aux attaques par injection de code. Par exemple, un attaquant pourrait injecter du code dans une page about: et l'utiliser pour modifier les paramètres de configuration dans Firefox.
Sommaire
Attaques par injection de code
Afin de protéger les utilisateurs de Firefox contre les attaques par injection de code, Mozilla a décidé de réécrire tous ses gestionnaires d’événements intégrés et de transférer tout le code JavaScript intégré pour ses 45 pages environ: des «fichiers empaquetés». La société a également défini une stratégie de sécurité du contenu solide afin de s’assurer que tout code JavaScript injecté ne peut pas être exécuté.
Kerschbaumer a expliqué comment cette nouvelle mesure peut aider à protéger contre les attaques par injection de code, en déclarant:
«Au lieu de cela, le code JavaScript ne s’exécute que lorsqu’il est chargé depuis une ressource empaquetée à l’aide du chrome interne: protocole. Ne pas autoriser de script inline dans les pages about:: limite la surface d'attaque lors de l'exécution de code arbitraire et constitue donc une première ligne de défense solide contre les attaques par injection de code. ”
De plus, Mozilla a mis en garde les développeurs contre l’utilisation de la fonction eval () qu’elle a qualifiée de «fonction dangereuse, qui exécute le code transmis avec les privilèges de l’appelant». En réécrivant toutes les fonctions de type eval (), la société a encore réduit la surface d’attaque dans Firefox.
Viz ZDNet