Firefox bloqueia JavaScript embutido para impedir ataques Cross-site Scripting (XSS) - Programadores Brasil
Browsers

Firefox bloqueia JavaScript embutido para impedir ataques Cross-site Scripting (XSS)

2 Mins read
Foto: Reprodução

Em um esforço para mitigar uma grande classe de possíveis problemas de script entre sites no Firefox, a Mozilla bloqueou a execução de todos os scripts em linha e funções semelhantes a avaliações potencialmente perigosas para “about: pages” internas que são a porta de entrada para preferências sensíveis, configurações e estática do navegador.

O navegador Firefox possui 45 dessas páginas internas hospedadas localmente , algumas das quais listadas abaixo que você pode ter notado ou usado em algum momento.

[+] Malware do tipo Trojan se infiltra por 2 anos em mais de 3 milhões de PCs e rouba 1,2 terabytes de dados e informações pessoais. Entenda

Na tentativa de esconder quase todos os problemas de script (decodificação) entre sites no Firefox, a Mozilla, empresa que desenvolve o navegador, bloqueou a execução de todos os scripts em linha e funções semelhantes, além de avaliações perigosas para “about: pages” . Estas são a porta de entrada para preferências sensíveis, configurações e estática do navegador.

Vale destacar que essas alterações não afetam o uso da Internet, mas, a partir de agora, a Mozilla promete “auditar e avaliar de perto” o uso de funções prejudiciais em extensões de terceiros e outros mecanismos internos.

O Firefox tem 45 dessas páginas internas hospedadas localmente , algumas das quais listadas abaixo que você pode ter notado ou usado em algum momento:

  • about: config – panel para modificar as preferências e configurações críticas do Firefox.
  • about: downloads – seus downloads recentes feitos no Firefox.
  • about: memory – mostra o uso de memória do Firefox.
  • about: newtab – a nova página padrão da guia.
  • about: plugins – lista todos os seus plugins e outras informações úteis.
  • about: privatebrowsing – abre uma nova janela privada.
  • about: networking – exibe informações de rede.

Javascript é afetado

Como todas essas páginas estão em HTML / JavaScript e são processadas pelo próprio navegador, elas têm grandes chances de sofrer ataques de injeção de código.

Assim, em caso de vulnerabilidade, eles podem executar, arbitrariamente, códigos em nome de o usuário, também conhecido como cross-site scripting (XSS).

Para adicionar uma primeira linha de defesa robusta contra ataques de injeção de código, mesmo quando há uma vulnerabilidade, a Mozilla bloqueou a execução de todos os scripts embutidos, injetando scripts assim, implementando uma Política de Segurança mais rígida, para garantir o JavaScript. O código é executado somente quando carregado de um recurso empacotado usando o protocolo interno.

[+] Dell Brasil monta time com mais de 200 cientistas de dados no país com intuito de desenvolver projetos voltados para segurança pública. Entenda

Para conseguir isso, a Mozilla teve que reescrever todos os manipuladores de eventos embutidos e mover todo o código JavaScript embutido fora da linha em arquivos compactados separados para todas as 45 páginas:.

– Não permitir nenhum script embutido em nenhuma das páginas about: limita a superfície de ataque da execução arbitrária de código e, portanto, fornece uma forte primeira linha de defesa contra ataques de injeção de código – destacou a empresa, em nota oficial.

Quando os invasores não conseguem injetar script diretamente, eles usam a função JavaScript eval () e métodos semelhantes para induzir os aplicativos de destino a converter texto em JavaScript executável para obter injeção de código.

Portanto, além dos scripts embutidos, o Mozilla também removeu e bloqueou funções semelhantes a avaliações, que o fabricante do navegador considera outra “ferramenta perigosa”, pois analisa e executa uma sequência arbitrária no mesmo contexto de segurança que ele.

[+] Google alerta sobre Rowhammer, que causa vulnerabilidade em memórias RAM DDR4 e expõe sistema a invasões. Entenda


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *