Um den Browser Firefox besser vor sogenannten Code-Injection-Angriffen zu schützen, hat Mozilla verschiedene Maßnahmen ergriffen; unter anderem wurden „möglicherweise gefährliche“ Bestandteile der Codebasis des Browsers entfernt. Dabei werden als Beispiel bestimmte Funktionen "eval()" und Inline-Skripte genannt.

Bei dem Verzicht auf Inline-Skripte geht es um die Sicherheit der „about:pages“-Funktion. Vor allem bei der „about:config“-Seite befürchtete Mozilla Code-Injection-Angriffe, da diese eine Programmierschnittstelle zugänglich mache, mit der Browsereinstellungen verändert werden können. Laut Christoph Kerschbaumer, Content Security Lead bei Mozilla, sagt: „Keine Inline-Skript in einer der About-Seiten zu erlauben, begrenzt die Angriffsfläche für die Ausführung von beliebigem Code und bietet somit eine starke erste Verteidigungslinie gegen Code-Injection-Angriffe“

Des Weiteren beschreibt Kerschbaumer die eval()-Funktion als „mächtiges und zugleich gefährliches Werkzeug“, das eine „erhebliche Angriffsfläche für Code-Injection-Attacken“ biete. Mozilla rate von der Nutzung der Funktion generell ab.

(tl, hannover)

(siehe auch: zdnet.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE