von Martin Brinkmann am 24. September 2018 in Firefox – Letzte Aktualisierung: September 24, 2018 – 3 Kommentare
Eine neu entdeckte bug in der desktop-version des Firefox web-browser kann den browser zum Absturz bringen und unter Umständen das gesamte Betriebssystem.
Entdeckt und offenbart security researcher Sabri Haddouche, der Fehler bewirkt, dass der Firefox web-browser stürzt ab, wenn eine speziell vorbereitete website geladen im web-browser.
Was dann geschieht, hängt vom Betriebssystem ab. Firefox zeigt die browser-Crash-Reporter-prompt auf Linux und Mac OS X, die verwendet werden können, zu informieren Mozilla über den crash und starten Sie Firefox neu.
Firefox-Nutzer auf Windows, laden Sie eine website, die speziell vorbereitet wird feststellen, dass das gesamte Betriebssystem einfriert. Die einzige Möglichkeit, um aus dieser Rückstellung des PC, so dass es neu gestartet wird.
Hinweis: ich habe versucht, den Fehler auf einer Linux-distribution in einer virtuellen Maschine und Firefox nicht abstürzt, wenn ich öffnete eine Seite, die den exploit-code. Firefox angezeigt “kann nicht speichern download” Eingabeaufforderung Warnung und der Reiter stürzte. Der Absturz hatte keine Auswirkungen auf die anderen Registerkarten im browser geöffnet.
Sie können check out den code auf der Forscherin GitHub-website. Der exploit-code erzeugt Dateien mit langen Dateinamen und initiiert eine Datei herunterladen, jede Millisekunde. Der Absturz wird verursacht durch die Flut von Anfragen, dass zumindest das einfrieren der web-browser.
Eine live-version des exploit ist verfügbar auf der Forscher – Webseite Reaper Bugs. Öffnen Sie die Website selbst hat keine negativen Auswirkungen auf den browser. Sie müssen wählen Sie eine der verfügbaren exploits, z.B. Ernten, Firefox, und bestätigen Sie die “Gefahr” Eingabeaufforderung, die angezeigt wird, um den code auszuführen.
Beachten Sie, dass es einfrieren kann, oder den browser zum Absturz bringen und sogar das Betriebssystem, unter bestimmten Umständen. Stellen Sie sicher, dass Sie gesichert haben, bevor Sie führen Sie es oder führen Sie es in einer Testumgebung.
Alle aktuellen Versionen von Firefox für den desktop betroffen sind, einschließlich der Nightly-und Beta-Versionen des Browsers.
Mozilla scheint sich des Problems bewusst und arbeitet an einer Lösung jetzt. Haddouche veröffentlicht exploits für Chrome, Safari und iOS bereits, dass sich die Auswirkungen auf die Browser und Betriebssysteme in ähnlicher Weise.
Check out Pure CSS stürzt iPhones für unsere Berichterstattung über eines der Themen.
Schlusswort
Alle aktuellen Versionen des Firefox web-browser sind von dem Problem betroffen. Es scheint unwahrscheinlich, dass das Problem ausgenutzt werden, in einem größeren Maßstab; dennoch scheint es kaum, dass Firefox-Nutzer können jetzt tun, um zu schützen, den browser gegen die Frage. Einstellung der browser-download-Verhalten auf “immer Fragen” nicht scheinen, um es zu verhindern.
Eine browser-Erweiterung wie NoScript verhindert, dass Skripts von standardmäßig ausgeführt.