Um Firefox besser gegen gefährliche Code-Injection-Angriffe zu schützen, wollen die Entwickler Teile des Codes, der im Browser steckt, entfernen. Damit soll es Angreifern erschwert werden, Schadcode in den Browser zu schleusen. Wie die Entwickler in einem
Beitrag im Security-Blog von Firefox erklären, werden die About-Seiten überarbeitet und gewisse Javascript-Funktionen sowie die Funktion eval() eingeschränkt.
So seien alle Inline Event Handler neu geschrieben und der gesamte Inline-Javascript-Code in gepackte Dateien verschoben worden, und das für alle 45 About-Seiten. Dies habe es ermöglicht, eine starke Content Security Policy (CSP) wie default-src chrome: anzuwenden, die sicherstelle, dass injizierter Javascript-Code nicht ausgeführt werde. Ausserdem sei die Verwendung von eval()-ähnlichen Funktionen aus systemrelevanten Kontexten und aus dem übergeordneten Prozess in der Firefox-Codebasis neu definiert worden. Man habe zusätzlich Assertions hinzugefügt, welche die Verwendung von eval() in systemprivilegierten Script-Kontexten verbieten.
(luc)
