door Martin Brinkmann op September 24, 2018 in het Firefox – Laatste Update: September 24, 2018 – 3 reacties
Een nieuw ontdekte bug in de desktop-versie van de Firefox web browser kan crashen van de browser en onder bepaalde omstandigheden van het gehele besturingssysteem.
Ontdekt en geopenbaard door security-onderzoeker Sabri Haddouche, de fout veroorzaakt op de Firefox web browser om te crashen als een speciaal geprepareerde website wordt geladen in de browser.
Wat er dan gebeurt, hangt af van het besturingssysteem. Firefox wordt de browser Crash Reporter prompt op Linux en Mac OS X, die kunnen worden gebruikt om u te informeren Mozilla over het vastlopen en opnieuw starten van Firefox.
Gebruikers van Firefox op Windows, die het laden van een website die speciaal is opgesteld, zal merken dat de hele besturingssysteem bevriest. De enige optie om uit deze reset de PC, zodat deze opnieuw wordt opgestart.
Opmerking: ik heb geprobeerd de bug op een Linux-distributie in een virtuele machine en Firefox niet vast wanneer ik opende een pagina die de exploit code. Firefox heeft gegeven van een “kan niet opslaan downloaden” waarschuwing en het tabblad crashte. De crash had geen effect op andere tabbladen te openen in de browser.
Je kunt de code op de onderzoeker GitHub website. De exploit code genereert bestanden met lange bestandsnamen en initieert het downloaden van een bestand elke milliseconde. De crash wordt veroorzaakt door de vloed van verzoeken op zijn minst dat het bevriezen van de web browser.
Een live-versie van de exploit is beschikbaar op de persoonlijke website van Reaper Bugs. Het openen van de site zelf heeft geen negatieve invloed op de browser. U moet selecteer een van de beschikbare exploits, bv. Maaien, Firefox, en bevestig het “gevaar” prompt wordt weergegeven voor het uitvoeren van de code.
Merk op dat het kan bevriezen of crashen van de browser en zelfs het besturingssysteem onder bepaalde omstandigheden. Zorg ervoor dat u hebt opgeslagen, alle werken voordat je het draait of voer het uit in een test omgeving.
Alle huidige versies van Firefox voor de desktop zijn getroffen waaronder een nacht-en Beta-versies van de browser.
Mozilla lijkt zich bewust van het probleem en werkt aan een oplossing nu. Haddouche uitgebracht exploits voor Chrome, Safari en iOS eerder die van invloed zijn op de browsers en besturingssystemen op dezelfde manier.
Check out Pure CSS crasht iPhones voor onze dekking van een van de problemen.
Slotwoord
Alle recente versies van de Firefox webbrowser zijn getroffen door het probleem. Het lijkt onwaarschijnlijk dat het probleem zal worden misbruikt op een grotere schaal; toch lijkt er weinig dat Firefox-gebruikers kunnen nu aan de bescherming van de browser tegen het probleem. Het instellen van de browser te downloaden gedrag “altijd vragen” lijkt niet te voorkomen.
Een browser-extensie als NoScript voorkomt scripts worden uitgevoerd door de standaard.