Nowo wykryty błąd w komputerowej wersji przeglądarki Firefox może spowodować awarię przeglądarki, aw pewnych okolicznościach całego systemu operacyjnego.
Odkryty i ujawniony przez badacza bezpieczeństwa Sabri Haddouche, błąd powoduje awarię przeglądarki Firefox po załadowaniu do niej specjalnie przygotowanej strony internetowej.
To, co się stanie, zależy od systemu operacyjnego. Firefox wyświetla monit Crash Reporter przeglądarki w systemie Linux i Mac OS X, którego można użyć do poinformowania Mozilli o awarii i ponownego uruchomienia przeglądarki Firefox.
Użytkownicy Firefoksa w systemie Windows, którzy ładują specjalnie przygotowaną stronę internetową, zauważą, że cały system operacyjny zawiesza się. Jedyną opcją, aby się z tego wydostać, jest zresetowanie komputera w celu ponownego uruchomienia.
Uwaga : wypróbowałem błąd w dystrybucji Linuksa na maszynie wirtualnej, a Firefox nie zawiesił się, gdy otworzyłem stronę zawierającą kod exploita. Firefox wyświetlił komunikat ostrzegawczy „nie można zapisać pobierania” i karta uległa awarii. Awaria nie miała wpływu na inne karty otwarte w przeglądarce.
Możesz sprawdzić kod na stronie GitHub badacza. Kod exploita generuje pliki o długich nazwach plików i inicjuje pobieranie plików co milisekundę. Awaria jest spowodowana zalewem żądań, które przynajmniej zamrażają przeglądarkę internetową.
Wersja live exploita jest dostępna na stronie naukowca Reaper Bugs. Otwarcie samej witryny nie ma negatywnego wpływu na przeglądarkę. Musisz wybrać jeden z dostępnych exploitów, np. Reap Firefox i potwierdzić komunikat „niebezpieczeństwo”, który jest wyświetlany, aby uruchomić kod.
Pamiętaj, że w pewnych okolicznościach może zawiesić lub zawiesić przeglądarkę, a nawet system operacyjny. Upewnij się, że zapisałeś całą pracę przed jej uruchomieniem lub uruchomieniem w środowisku testowym.
Dotyczy to wszystkich bieżących wersji Firefoksa na komputery, w tym wersji Nightly i Beta przeglądarki.
Wydaje się, że Mozilla zdaje sobie sprawę z tego problemu i obecnie pracuje nad rozwiązaniem. Haddouche wcześniej wydał exploity dla Chrome, Safari i iOS, które w podobny sposób wpływają na przeglądarki i systemy operacyjne.
Sprawdź Pure CSS, który powoduje awarię iPhone'ów, aby zapoznać się z jednym z problemów.
Końcowe słowa
Problem dotyczy wszystkich najnowszych wersji przeglądarki Firefox. Wydaje się mało prawdopodobne, że problem zostanie wykorzystany na większą skalę; wydaje się jednak, że niewiele można zrobić teraz w przeglądarce Firefox, aby zabezpieczyć przeglądarkę przed tym problemem. Ustawienie sposobu pobierania przeglądarki na „zawsze pytaj” nie wydaje się temu zapobiegać.
Rozszerzenie przeglądarki, takie jak NoScript, domyślnie uniemożliwia uruchamianie skryptów.
