Breaking News

Mozilla เพิ่มการป้องกัน Code Injection ให้ Firefox

Mozilla ได้เพิ่มมาตรการป้องกัน Code Injection ให้ Firefox

Mozilla ได้ Hardening การทำงานของ Firefox เป็น 2 ส่วนหลักดังนี้

1.about:pages เป็นส่วนที่ผู้ใช้งานสามารถปรับแต่งค่าต่างๆ ได้ ซึ่งเบื้องหลังก็เกิดจาก HTML และ JavaScript นั่นเอง ทำให้ผู้ไม่หวังดีสามารถทำ Code Injection Attack ได้ในบริบทของผู้ใช้งาน ด้วยเหตุนี้เอง Mozilla จึงได้แก้เกมด้วยการเขียน inline event handler  (เป็นส่วนที่อนุญาตให้สร้างตัวแปรได้ตอน Runtime) ของหน้า about:pages ขึ้นมาใหม่ ผลลัพธ์ทำให้สามารถใช้งาน Content Security Policy ได้ดีขึ้น 

2.Mozilla มองว่าฟังก์ชัน Eval() นั้นอันตรายเพราะเปิดช่องให้สามารถ Execute String ซึ่งสามารถประยุกต์ใช้ให้อันตรายได้ด้วย จึงได้มีการเขียนฟังก์ชัน-ขั้นมาใหม่ นอกจากนี้ยังมีการทำ Assertion เพื่อตรวจสอบการใช้งานฟังก์ชันอย่างอันตรายอีกทางหนึ่ง

เครดิต : BleepingComputer

ที่มา :  https://www.securityweek.com/mozilla-hardens-firefox-against-injection-attacks และ  https://www.bleepingcomputer.com/news/security/mozilla-rolls-out-code-injection-attack-protection-in-firefox/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] iZeno รับมอบรางวัล Atlassian Partner of the Year 2019: Rising Star APAC

วันนี้ Atlassian ได้ประกาศสู่สาธารณะว่า บริษัท iZeno ถูกเลือกให้ได้รับรางวัล Atlassian Partner of the Year 2019: Rising Star APAC สืบเนื่องมาจากผลงานและความสำเร็จที่โดดเด่นในช่วงปีปฏิทิน 2019 โดยรางวัลอันทรงเกียรตินี้สะท้อนให้เห็นถึงความพยายามในการสร้างธุรกิจใหม่, การขับเคลื่อนความเป็นผู้นำเชิงความคิด รวมถึงเชื่อมต่อผลิตภัณฑ์และบริการเป็น solution stack ที่สามารถตอบโจทย์ความต้องการของลูกค้าทั้งในส่วนของ DevOps และ IT Service Management Solution (ITSM) ทั้งหมดนี้ได้เติมเต็ม Atlassian ในภาพรวมให้มีความสมบูรณ์แบบมากยิ่งขึ้น

Cloudflare ยกเลิกการใช้งาน reCAPTCHA เนื่องจากปัญหาด้าน Privacy และค่าใช้จ่าย

Cloudflare ได้ประกาศยกเลิกการใช้งาน reCAPTCHA ของ Google ในบริการต่างๆของตนเอง เนื่องจากปัญหาทางด้าน Privacy และค่าใช้จ่ายจำนวนมากที่เกิดขึ้น