«Эффективным способом борьбы с атаками внедрения кода является уменьшение поверхности атаки путем удаления потенциально опасных элементов из кодовой базы и усиления кода на различных уровнях. Для того чтобы сделать Firefox устойчивым к атакам внедрения кода, мы удалили встроенные скрипты и функции наподобие eval()», - сообщила команда безопасности Mozilla.
Mozilla переписала встроенный обработчик событий и перенесла встроенный JavaScript-код в заархивированные файлы для всех страниц about:pages браузера (ознакомиться со списком из 45 about:pages можно здесь ), уязвимых к атакам внедрения кода через встроенные скрипты.
Страницы about:pages предоставляют пользователям простой интерфейс для проверки информации, связанной с внутренней работой Firefox (например, страница about: config предоставляет API для проверки и обновления настроек и параметров). Поскольку, как и все другие страницы браузера, about:pages используют HTML и JavaScript, злоумышленники могут внедрить вредоносные скрипты в контексте безопасности браузера и выполнять произвольные действия от лица пользователей Firefox.
Сделав невозможным внедрение встроенных скриптов на страницах about:pages в Firefox, Mozilla создала барьер против атак внедрения кода, которые могут привести к выполнению произвольного кода.