O Firefox irá adicionar uma nova proteção “drive-by-download”
O Firefox bloqueará downloads automáticos iniciados a partir de iframes em sandbox – a tecnologia geralmente usada para incorporações da web.
Chamado de download drive-by , esse tipo de ataque existe há duas décadas e geralmente ocorre quando os usuários visitam um site que contém código malicioso colocado por um invasor.
A função do código malicioso é abusar de recursos legítimos em navegadores e padrões da web para iniciar um download automático de arquivo ou prompt de download, na esperança de enganar o usuário para que execute um arquivo malicioso.
Existem várias formas de downloads drive-by, dependendo do recurso do navegador que os invasores decidam usar.
Navegadores como Chrome, Firefox e Internet Explorer têm, ao longo dos anos, implantado gradualmente várias formas de proteção contra downloads automáticos, mas 100% de proteção não pode ser totalmente alcançada porque os fabricantes de navegadores não podem bloquear totalmente os recursos legítimos da web e também devido à mudança no cenário de ataques na Web, com os invasores sempre encontrando um novo buraco para abrir.
A última rodada de proteções que os fabricantes de navegadores decidiram lançar contra downloads drive-by visa uma tecnologia chamada “iframes em área restrita”, que costuma ser usada para carregar anúncios e widgets incorporáveis (vídeos, faixas de música, podcasts) em sites de terceiros.
A ideia é que os sites raramente iniciam downloads por meio de iframes em sandbox, pois a maioria desses widgets costuma ser usada para incorporar conteúdo.
O Chrome foi o primeiro a bloquear downloads iniciados a partir de “iframes em sandbox” com o lançamento do Chrome 73, em março de 2019, e a opção foi completamente removida no Chrome 83, em maio de 2020.
Esta semana, o Firefox anunciou planos semelhantes. A partir do Firefox 82, com lançamento previsto para o próximo mês, em outubro de 2020, o Firefox bloqueará todos os downloads de arquivos originados de um iframe em sandbox.
As únicas situações em que os downloads serão respeitados são se o proprietário do site ou o provedor do widget da web tiver um sinalizador “allow-download” no iframe; no entanto, a maioria não, pois esse é um risco de segurança e um motivo pelo qual eles usam iframes em área restrita no primeiro, em vez de iframes clássicos.
Os navegadores são pilhas complexas de código e esta é uma pequena atualização no grande esquema das coisas, mas geralmente é assim que você constrói um produto seguro, reagindo às ameaças conforme elas surgem e fazendo pequenos ajustes aqui e ali, ao longo do tempo.
Um recurso semelhante foi proposto à equipe Safari WebKit, mas nenhum plano foi feito ainda para sua implementação.
fonte: https://www.zdnet.com/article/firefox-will-add-a-new-drive-by-download-protection/