TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Mozilla ได้เพิ่มมาตรการป้องกัน Code Injection ให้ Firefox
Mozilla ได้ Hardening การทำงานของ Firefox เป็น 2 ส่วนหลักดังนี้
1.about:pages เป็นส่วนที่ผู้ใช้งานสามารถปรับแต่งค่าต่างๆ ได้ ซึ่งเบื้องหลังก็เกิดจาก HTML และ JavaScript นั่นเอง ทำให้ผู้ไม่หวังดีสามารถทำ Code Injection Attack ได้ในบริบทของผู้ใช้งาน ด้วยเหตุนี้เอง Mozilla จึงได้แก้เกมด้วยการเขียน inline event handler (เป็นส่วนที่อนุญาตให้สร้างตัวแปรได้ตอน Runtime) ของหน้า about:pages ขึ้นมาใหม่ ผลลัพธ์ทำให้สามารถใช้งาน Content Security Policy ได้ดีขึ้น
2.Mozilla มองว่าฟังก์ชัน Eval() นั้นอันตรายเพราะเปิดช่องให้สามารถ Execute String ซึ่งสามารถประยุกต์ใช้ให้อันตรายได้ด้วย จึงได้มีการเขียนฟังก์ชัน-ขั้นมาใหม่ นอกจากนี้ยังมีการทำ Assertion เพื่อตรวจสอบการใช้งานฟังก์ชันอย่างอันตรายอีกทางหนึ่ง
ที่มา : https://www.securityweek.com/mozilla-hardens-firefox-against-injection-attacks และ https://www.bleepingcomputer.com/news/security/mozilla-rolls-out-code-injection-attack-protection-in-firefox/
