da Martin Brinkmann il 24 settembre, 2018 in Firefox – Ultimo Aggiornamento: 24 settembre, 2018 – 8 commenti
Una recente scoperta di bug nella versione desktop di Firefox web browser potrebbe mandare in crash il browser e, in determinate circostanze, l’intero sistema operativo.
Scoperto e rivelato dal ricercatore di sicurezza Sabri Haddouche, il bug fa sì che il browser web Firefox crash quando è specificatamente preparato un sito viene caricato nel browser web.
Cosa succede poi dipende dal sistema operativo. Firefox visualizza il browser Crash Reporter prompt di Linux e Mac OS X, che potranno essere utilizzati per informare su Mozilla crash e riavviare Firefox.
Gli utenti di Firefox su Windows che carica un sito web che è specificatamente preparato noterà che l’intero sistema operativo si blocca. L’unica opzione per ottenere fuori di questo è quello di resettare il PC in modo che non si riavvia.
Nota: ho provato il bug su una distribuzione Linux in una macchina virtuale e Firefox non crash quando ho aperto una pagina che ha incluso il codice di exploit. Firefox visualizzato “impossibile salvare scaricare” la finestra di avviso e la scheda si è schiantato. L’incidente non ha avuto alcun effetto su altre schede aperte nel browser.
È possibile controllare il codice del ricercatore GitHub sito web. Il codice di exploit genera i file con nomi di file lunghi e avvia il download di un file ogni millisecondo. Il crash è causato dalla marea di richieste che almeno bloccare il browser web.
Una versione dal vivo dell’exploit è disponibile sul ricercatore sito Reaper Bug. Aprendo il sito in sé non ha alcun impatto negativo sul browser. È necessario selezionare uno degli exploit, ad esempio Reap Firefox, e confermare il “pericolo” prompt dei comandi visualizzato per eseguire il codice.
Si noti che è possibile congelare o crash del browser e anche il sistema operativo in determinate circostanze. Assicurarsi che avete salvato tutti i lavori prima dell’esecuzione o l’esecuzione in un ambiente di test.
Tutte le versioni di Firefox per desktop sono interessato anche Notturne e le versioni Beta del browser.
Mozilla sembra essere a conoscenza del problema e sta lavorando su una soluzione in questo momento. Haddouche rilasciato exploit per Chrome, Safari e iOS in precedenza che influenzano il browser e sistemi operativi in modo simile.
Check out Puro CSS si blocca l’iphone per la copertura di uno dei problemi.
Parole Di Chiusura
Tutte le versioni recenti di Firefox web browser sono interessati dal problema. Sembra improbabile che il problema verrà sfruttato su larga scala; ancora, sembra che ci sia poco che gli utenti di Firefox possono fare per proteggere il browser contro il problema. L’impostazione del browser per il download di comportamento per “chiedi sempre”, non sembra per impedirlo.
Una estensione per il browser come NoScript impedisce l’esecuzione di script di default.