Mozilla เพิ่มการป้องกัน Code Injection ให้ Firefox

Mozilla ได้เพิ่มมาตรการป้องกัน Code Injection ให้ Firefox

Mozilla ได้ Hardening การทำงานของ Firefox เป็น 2 ส่วนหลักดังนี้

1.about:pages เป็นส่วนที่ผู้ใช้งานสามารถปรับแต่งค่าต่างๆ ได้ ซึ่งเบื้องหลังก็เกิดจาก HTML และ JavaScript นั่นเอง ทำให้ผู้ไม่หวังดีสามารถทำ Code Injection Attack ได้ในบริบทของผู้ใช้งาน ด้วยเหตุนี้เอง Mozilla จึงได้แก้เกมด้วยการเขียน inline event handler  (เป็นส่วนที่อนุญาตให้สร้างตัวแปรได้ตอน Runtime) ของหน้า about:pages ขึ้นมาใหม่ ผลลัพธ์ทำให้สามารถใช้งาน Content Security Policy ได้ดีขึ้น 

2.Mozilla มองว่าฟังก์ชัน Eval() นั้นอันตรายเพราะเปิดช่องให้สามารถ Execute String ซึ่งสามารถประยุกต์ใช้ให้อันตรายได้ด้วย จึงได้มีการเขียนฟังก์ชัน-ขั้นมาใหม่ นอกจากนี้ยังมีการทำ Assertion เพื่อตรวจสอบการใช้งานฟังก์ชันอย่างอันตรายอีกทางหนึ่ง

เครดิต : BleepingComputer

ที่มา :  https://www.securityweek.com/mozilla-hardens-firefox-against-injection-attacks และ  https://www.bleepingcomputer.com/news/security/mozilla-rolls-out-code-injection-attack-protection-in-firefox/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้