Connectez-vous avec nous

Ordinateurs et informatique

Firefox obtient une autre mise à jour majeure de sécurité

Dans une récente publication sur le blog de sécurité de Mozilla, le fabricant de Firefox a révélé les mesures prises pour protéger les utilisateurs contre les attaques par injection de code en renforçant la sécurité de son navigateur.

La société a durci son navigateur en supprimant les «artifiacts potentiellement dangereux» de la base de code de Firefox, y compris les scripts en ligne et les fonctions de type eval (), selon l’ingénieur en sécurité et confidentialité de la plate-forme de la société, Christoph Kerschbaumer.

Les scripts inline ont été supprimés dans le but d'améliorer la protection du protocole «à propos de» de Firefox, souvent appelé «pages». Ces pages sur: permettent aux utilisateurs d’afficher des informations sur le réseau, de visualiser la configuration de leur navigateur et de connaître les plug-ins installés.

Cependant, puisque ces informations sur: les pages sont écrites en HTML et JavaScript, elles utilisent la même sécurité que celle utilisée par les pages Web, qui sont également vulnérables aux attaques par injection de code. Par exemple, un attaquant pourrait injecter du code dans une page about: et l'utiliser pour modifier les paramètres de configuration dans Firefox.

Attaques par injection de code

Afin de protéger les utilisateurs de Firefox contre les attaques par injection de code, Mozilla a décidé de réécrire tous ses gestionnaires d’événements intégrés et de transférer tout le code JavaScript intégré pour ses 45 pages environ: des «fichiers empaquetés». La société a également défini une stratégie de sécurité du contenu solide afin de s’assurer que tout code JavaScript injecté ne peut pas être exécuté.

Kerschbaumer a expliqué comment cette nouvelle mesure peut aider à protéger contre les attaques par injection de code, en déclarant:

«Au lieu de cela, le code JavaScript ne s’exécute que lorsqu’il est chargé depuis une ressource empaquetée à l’aide du chrome interne: protocole. Ne pas autoriser de script inline dans les pages about:: limite la surface d'attaque lors de l'exécution de code arbitraire et constitue donc une première ligne de défense solide contre les attaques par injection de code. ”

De plus, Mozilla a mis en garde les développeurs contre l’utilisation de la fonction eval () qu’elle a qualifiée de «fonction dangereuse, qui exécute le code transmis avec les privilèges de l’appelant». En réécrivant toutes les fonctions de type eval (), la société a encore réduit la surface d’attaque dans Firefox.

Viz ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

iOS 13 obtient encore une autre mise à jour – correction d'une faille de sécurité majeure liée au temps d'écran Firefox pour Android fait l'objet d'une mise à jour majeure Chromecast d'origine a peu de chances d'obtenir une autre mise à jour majeure La mise à jour de Firefox devrait empêcher votre navigateur de planter Les routeurs Cisco SMB rencontrent une autre faille de sécurité majeure La mise à jour de Windows 10 brise une autre fonctionnalité majeure – mais il y a un correctif Facebook offre à certains utilisateurs une mise à niveau de sécurité majeure Xiaomi Mi A3 obtient une autre mise à jour Android 11 « sans brique »
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES