A Mozilla liberou mais uma atualização para o navegador Firefox. Desta vez, o intuito é proteger o aplicativo contra ataques de injeção de código. Os ataques de injeção de código podem ser explorados para alterar as configurações do navegador, como mecanismo de busca, página inicial, etc.
Ultimamente, o navegador não foi alvo de nenhum ataque sério desse tipo, mas a Mozilla deixou o navegador mais seguro removendo “artefatos potencialmente perigosos” da base de código do software, ou seja, foi uma jogada do tipo “é melhor prevenir do que remediar”. Nessa leva, foram excluídos scripts em linha (inline) e funções do tipo eval().
A exclusão dos scripts inline visam melhorar o protocolo “about” da Raposa, que são páginas que os usuários usam para checar configurações, informações de rede e plugins instalados. Essas páginas “about” eram tão vulneráveis a ataques de injeção de código quanto páginas web. Por isso elas sofreram alteração.
A partir do último update, a companhia reescreveu todos os manipuladores de eventos em linha e moveu todo o código JavaScript em linha para todas as 45 páginas “about” para “arquivos compactados”. Além disso, as políticas de segurança dos códigos JavaScript também foram reformulados para ficar muito mais restritos, o que fornece uma barreira de defesa em primeira instância contra ataques de injeção de código.
Os desenvolvedores também foram alertados contra o uso de funções do tipo eval(). A reescrita dos códigos que continham essas funções é mais uma camada de defesa que o Firefox recebeu.
Para atualizar seu navegador, clique no botão de configurações, depois em “Ajuda” e depois em “Sobre o Firefox”. Isso faz com que o aplicativo procure pelas atualizações automaticamente.
Fonte: Tecmundo