Mozilla gaat Firefox beschermen tegen aanvallen waarbij bestanden worden gebruikt die in werkelijkheid een ander soort bestand zijn dan ze claimen te zijn. Door de inhoud van een bestand te scannen kunnen browsers het bestandsformaat vaststellen, ongeacht welk contenttype de webserver meegeeft.
Als Firefox een script van een webserver opvraagt en de server vervolgens een script terugstuurt maar stelt dat het om een afbeelding gaat, kan Firefox toch het oorspronkelijke formaat detecteren en het script uitvoeren. Deze techniek wordt MIME-sniffing genoemd. MIME staat voor Multipurpose Internet Mail Extensions en is een standaard voor het definiëren van contenttypes.
Hoewel deze functionaliteit handig is maakt het ook een aanval genaamd "MIME confusion" mogelijk. Neem als voorbeeld een webapplicatie waar gebruikers afbeeldingen kunnen uploaden, maar er niet wordt gecontroleerd of de gebruiker ook daadwerkelijk een echte afbeelding heeft geupload. Zodoende kan een aanvaller een afbeelding met kwaadaardige scriptcode uploaden.
Zodra de browser het bestand tegenkomt zal die de code uitvoeren, waardoor het risico op bijvoorbeeld cross-site scripting en andere aanvallen bestaat. Vanaf Firefox 50 gaat Mozilla daarom stylesheets, afbeeldingen en scripts weigeren als hun MIME-type niet overeenkomt met de context waarin het bestand is geladen. Hiervoor moet de server wel een aparte header meesturen, zo laat Mozilla's Christoph Kerschbaumer weten. Firefox 50 staat gepland voor 8 november van dit jaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.