Firefox chặn thực thi mã nội tuyến và Eval JavaScript trên các trang nội bộ nhằm ngăn chặn các cuộc tấn công Injection

Trong nỗ lực giảm thiểu các cuộc tấn công cross-site scripting tiềm năng trong Firefox, Mozilla đã chặn thực thi tất cả các tập lệnh nội tuyến và các hàm eval nguy hiểm tiềm tàng trong "about: page" - nơi tích hợp các cổng tùy chọn nhạy cảm, cài đặt và thống kê của trình duyệt.

Firefox chặn thực thi mã nội tuyến và Eval JavaScript trên các trang nội bộ nhằm ngăn chặn các cuộc tấn công Injection - CyberSec365.org

Cụ thể, Trình duyệt Firefox có tổng cộng 45 trang about lưu trữ nội bộ, một số trang được liệt kê bên dưới mà bạn có thể đã nhận thấy hoặc sử dụng tại một số điểm:

• about:config — panel để sửa đổi các tùy chọn và cài đặt quan trọng của Firefox.
• about:downloads — các lần tải xuống gần đây của bạn được thực hiện trong Firefox
• about:memory — hiển thị mức sử dụng bộ nhớ của Firefox.
• about:newtab — trang tab mới mặc định.
• about:plugins — liệt kê tất cả các plugin của bạn cũng như các thông tin hữu ích khác.
• about:privatebrowsing — mở một cửa sổ private mới.
• about:networking — hiển thị thông tin mạng.

Cần lưu ý, những thay đổi này không ảnh hưởng đến cách các trang web từ Internet hoạt động trên trình duyệt Firefox, nhưng trong tương lai, Mozilla tuyên bố sẽ "kiểm tra và đánh giá chặt chẽ" việc sử dụng các chức năng có hại trong các tiện ích mở rộng của bên thứ 3 và các cơ chế tích hợp khác.

Firefox bị vô hiệu hóa JavaScript nội tuyến để bảo mật

Vì tất cả các trang này được viết bằng HTML/JavaScript và hiển thị trong ngữ cảnh bảo mật của chính trình duyệt, nên chúng cũng dễ bị tấn công bằng phương thức tấn công tiêm nhiễm các đoạn mã độc hại, trong trường hợp có lỗ hổng, có thể cho phép kẻ tấn công từ xa tiêm và thực thi mã tùy ý thay cho người dùng, tức là các cuộc tấn công kịch bản chéo trang (XSS).

Để thêm một tuyến phòng thủ đầu tiên mạnh mẽ chống lại các cuộc tấn công injection , ngay cả khi có lỗ hổng, Mozilla đã chặn việc thực thi tất cả các tập lệnh nội tuyến.

Để đạt được điều này, Mozilla đã phải viết lại tất cả các trình xử lý sự kiện nội tuyến và di chuyển tất cả các mã JavaScript nội tuyến ra khỏi các tệp được đóng gói riêng cho tất cả 45 trang about: pages.

"Không cho phép bất kỳ tập lệnh nội tuyến nào trong bất kỳ nội dung nào trong các trang about: pages có khả năng tấn công thực thi mã tùy ý và do đó cung cấp một tuyến phòng thủ đầu tiên mạnh mẽ chống lại các cuộc tấn công injection", Mozilla cho biết trong một bài đăng trên blog được công bố trước đó.

NO EVAL, NO EVIL!

Khi kẻ tấn công không thể tiêm trực tiếp tập lệnh, chúng sử dụng hàm JavaScript eval () và các phương thức tương tự để lừa các ứng dụng đích chuyển đổi văn bản thành JavaScript và thực thi để đạt được mục đích.

Vì vậy, ngoài các tập lệnh nội tuyến, Mozilla cũng đã loại bỏ và chặn các chức năng giống như eval, mà nhà sản xuất trình duyệt cho là một "công cụ nguy hiểm" khác, vì nó phân tích và thực thi một chuỗi tùy ý trong cùng bối cảnh bảo mật

Google cũng có chung suy nghĩ,  "eval rất nguy hiểm trong một tiện ích mở rộng vì mã mà nó thực thi có quyền truy cập vào mọi thứ trong môi trường đặc quyẻn cao của tiện ích mở rộng".

Đối với điều này, Mozilla viết lại tất cả việc sử dụng các hàm giống như eval từ các bối cảnh đặc quyền của hệ thống và quy trình thực thi trong cơ sở mã của trình duyệt web Firefox của nó.

Bên cạnh đó, công ty cũng đã xác nhận sẽ không cho phép sử dụng hàm eval () và các biến thể của nó trong các bối cảnh tập lệnh đặc quyền hệ thống và thông báo cho Mozilla Security Team về các trường hợp chưa biết về eval ().

Đại Phát (Theo THN)