Mozilla will seinen Firefox-Browser zusätzlich gegen Code-Injection absichern. Dazu sollen potenzielle Schwachstellen, die anfälliger für eine Infiltration von Schadcode sind, entfernt und der eigentliche Code zudem gehärtet werden.
Wie die Open-Source-Spezialisten auf ihrem
Security-Blog schreiben, wurden dafür unter anderem Inline-Skripte komplett überarbeitet. Diese waren bisher vorwiegend in den eigenen About-Seiten von Firefox enthalten. Mitunter am bekanntesten dürfte hier about:config sein - eine API zur Überprüfung und Aktualisierung der Browser-Einstellungen. Das Problem an den About-Seiten besteht laut den Entwicklern darin, dass die Seiten demselben Sicherheitsmodell unterliegen wie herkömmliche Webseiten. Das bedeutet, dass dort auch mit HTML oder Javascript gearbeitet wird. Gelingt es einem Angreifer nun jedoch, genau hier seinen Code einzuschleusen, wird dieser gegebenenfalls im Sicherheitskontext des Browsers ausgeführt. Das könnte Hacker dazu befähigen, beliebige Aktionen mit Admin-Rechten auszuführen.
Die Nutzer müssen zukünftig dennoch nicht auf die About-Seiten verzichten. Mozilla hat die Inline-Skripte völlig neu geschrieben und in speziellen Paketen zusammengeschnürt. Damit werden Code-Injections wirkungslos beziehungsweise schlicht nicht ausgeführt. Lediglich der Javascript-Code in den Paketen kommt zur Anwendung.
Eine weitere Sicherheitsmaßnahme von Firefox ist die Einschränkung von "eval()-ähnlichen Funktionen". Diese sind in der Praxis zwar häufig nützlich, bieten aber Angreifern eine große Angriffsfläche für Code-Injections.
Zwar wurden die eval()-Funktionen aus Firefox entfernt, verwendet der Nutzer diese jedoch weiterhin aus anderen Quellen, wird Firefox das nicht blockieren. Mozilla rät allerdings dringend davon ab.