15.10.2019
Browser-Härtung
Mozilla sichert Firefox vor Code-Injection ab
Autor: Alexandra Lindner
Jacob Hamblin / shutterstock.com
Mozilla überarbeitet die About-Seiten und schränkt die Nutzung anfälliger Javascript-Funktionen in Firefox ein. Durch diese Härtungsmaßnahmen soll der Browser besser vor Code-Injections geschützt werden.
Mozilla will seinen Firefox-Browser zusätzlich gegen Code-Injection absichern. Dazu sollen potenzielle Schwachstellen, die anfälliger für eine Infiltration von Schadcode sind, entfernt und der eigentliche Code zudem gehärtet werden.
Wie die Open-Source-Spezialisten auf ihrem Security-Blog schreiben, wurden dafür unter anderem Inline-Skripte komplett überarbeitet. Diese waren bisher vorwiegend in den eigenen About-Seiten von Firefox enthalten. Mitunter am bekanntesten dürfte hier about:config sein - eine API zur Überprüfung und Aktualisierung der Browser-Einstellungen. Das Problem an den About-Seiten besteht laut den Entwicklern darin, dass die Seiten demselben Sicherheitsmodell unterliegen wie herkömmliche Webseiten. Das bedeutet, dass dort auch mit HTML oder Javascript gearbeitet wird. Gelingt es einem Angreifer nun jedoch, genau hier seinen Code einzuschleusen, wird dieser gegebenenfalls im Sicherheitskontext des Browsers ausgeführt. Das könnte Hacker dazu befähigen, beliebige Aktionen mit Admin-Rechten auszuführen.
Die Nutzer müssen zukünftig dennoch nicht auf die About-Seiten verzichten. Mozilla hat die Inline-Skripte völlig neu geschrieben und in speziellen Paketen zusammengeschnürt. Damit werden Code-Injections wirkungslos beziehungsweise schlicht nicht ausgeführt. Lediglich der Javascript-Code in den Paketen kommt zur Anwendung.
eval()ähnliche Funktionen überarbeitet
Eine weitere Sicherheitsmaßnahme von Firefox ist die Einschränkung von "eval()-ähnlichen Funktionen". Diese sind in der Praxis zwar häufig nützlich, bieten aber Angreifern eine große Angriffsfläche für Code-Injections.
Zwar wurden die eval()-Funktionen aus Firefox entfernt, verwendet der Nutzer diese jedoch weiterhin aus anderen Quellen, wird Firefox das nicht blockieren. Mozilla rät allerdings dringend davon ab.
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>