Firefox gaat voorkomen dat gesandboxte iframes externe applicaties starten

[Captain Kirk]

Mozilla gaat in een nieuwe versie van Firefox voorkomen dat iframes die zich in een sandbox bevinden protocollen kunnen aanroepen om zo externe applicaties op de desktop of smartphone te starten. Verschillende applicaties maken gebruik van een eigen protocol of url-handler voor het starten van de applicatie via een bepaalde url. Er zijn situaties waarbij iframes dergelijke url's kunnen aanroepen en zo de betreffende applicatie op het systeem van de gebruiker kunnen starten.

Malafide adverteerders zouden hier misbruik van kunnen maken. Firefox maakt gebruik van een sandbox om te beperken wat er via een iframe kan worden gedaan, zoals het voorkomen van pop-ups, het uitvoeren van plug-ins en scripts en het handhaven van de same-origin policy. Het blijkt echter mogelijk om via een gesandboxt iframe externe protocol-handlers aan te roepen.

Mozilla heeft nu besloten om dit door het toevoegen van een patch te voorkomen. "Dit houdt in dat gesandboxte derde partijen niet langer externe applicaties op de desktop of telefoon kunnen openen", zegt Mozillas Niklas Baumgardner. De patch die hiervoor zorgt is toegevoegd aan een vroege testversie van Firefox. Wanneer die in de releaseversie verschijnt is nog onbekend.

 

bron: https://www.security.nl