par Martin Brinkmann le 24 septembre 2018 dans Firefox – Dernière mise à Jour: 24 septembre 2018 – 7 commentaires
Récemment découvert un bug dans la version de bureau du navigateur web Firefox peut planter le navigateur et dans certains cas, la totalité du système d’exploitation.
Découvert et révélé par le chercheur en sécurité Sabri Haddouche, le bug provoque le navigateur web Firefox crash lors de l’un spécialement préparé site web est chargé dans le navigateur web.
Ce qui se passe ensuite dépend du système d’exploitation. Firefox affiche le navigateur Crash Reporter invite sur Linux et Mac OS X, qui peut être utilisé pour informer Mozilla à propos de l’accident et de redémarrer Firefox.
Les utilisateurs de Firefox sur Windows qui charge un site web qui est spécialement préparé remarquerez que l’ensemble du système d’exploitation se bloque. La seule option pour sortir de cette est de réinitialiser le PC afin qu’il redémarre.
Note: j’ai essayé le bug sur une distribution Linux dans une machine virtuelle et Firefox ne plante pas quand je l’ai ouvert une page qui inclus le code de l’exploit. Firefox affiche: “impossible d’enregistrer télécharger” avertissement s’affiche, l’onglet s’est écrasé. L’accident a eu aucun effet sur les autres onglets ouverts dans le navigateur.
Vous pouvez vérifier le code sur le chercheur GitHub site web. Le code d’exploitation génère des fichiers avec des noms de fichiers longs et lance le téléchargement d’un fichier à chaque milliseconde. L’accident est causé par l’afflux de demandes qui, à tout le moins geler le navigateur web.
Un live de la version de l’exploit est disponible sur le chercheur le site web de Reaper Bugs. L’ouverture du site en lui-même n’a pas d’impact négatif sur le navigateur. Vous devez sélectionner l’un des exploits, par exemple, Récolter Firefox, et de confirmer le “danger” d’invite de commandes qui s’affiche pour exécuter le code.
Notez qu’il peut geler ou de se bloquer le navigateur et même le système d’exploitation dans certaines circonstances. Assurez-vous que vous avez enregistré tous les travail avant de l’exécuter ou exécuter dans un environnement de test.
Toutes les versions actuelles de Firefox pour les ordinateurs de bureau sont touchés, y compris les Soirs et les versions Bêta du navigateur.
Mozilla semble être au courant de ce problème et travaille sur une solution maintenant. Haddouche publié exploits de Chrome, Safari et iOS précédemment qui affectent les navigateurs et systèmes d’exploitation de manière similaire.
Découvrez Pure CSS accidents iPhones pour notre couverture de l’une des questions.
Le Mot De La Fin
Toutes les versions récentes de Firefox navigateur web sont concernés par le problème. Il semble peu probable que la question sera exploitée sur une plus grande échelle; encore, il semble que les utilisateurs de Firefox peuvent faire dès maintenant pour protéger le navigateur sur la question. Réglage du navigateur comportement de téléchargement pour “toujours demander” ne semble pas l’empêcher.
Une extension de navigateur comme NoScript empêche l’exécution de scripts par défaut.