Tato chyba Firefoxu může poškodit prohlížeč a váš operační systém

Nově objevená chyba ve stolní verzi webového prohlížeče Firefox může prohlížeč havarovat a za určitých okolností celý operační systém.

Tato chyba, objevená a odhalená výzkumníkem bezpečnosti Sabri Haddouche, způsobí selhání webového prohlížeče Firefox, když je do webového prohlížeče načten speciálně připravený web.

To, co se stane, pak záleží na operačním systému. Firefox zobrazuje v prohlížeči Linux a Mac OS X výzvu Crash Reporter, kterou lze použít k informování Mozilly o havárii a restartu Firefoxu.

Uživatelé Firefoxu ve Windows, kteří načtou web, který je speciálně připraven, si všimnou, že celý operační systém zamrzne. Jedinou možností, jak se z toho dostat, je reset počítače tak, aby se restartoval.

Poznámka : Zkoušel jsem chybu na distribuci Linuxu ve virtuálním počítači a Firefox nepadl, když jsem otevřel stránku, která obsahovala exploit code. Firefox zobrazil varovnou výzvu „nelze uložit ke stažení“ a karta selhala. Havárie neměla žádný vliv na další karty otevřené v prohlížeči.

Kód si můžete prohlédnout na webových stránkách výzkumníka GitHub. Exploit code generuje soubory s dlouhými jmény souborů a zahajuje stahování souborů každou milisekundu. Havárie je způsobena záplavou požadavků, které přinejmenším zmrazí webový prohlížeč.

Živá verze vykořisťování je k dispozici na webových stránkách výzkumníka Reaper Bugs. Otevření samotného webu nemá na prohlížeč negativní dopad. Musíte vybrat jeden z dostupných exploitů, např. Reap Firefox, a potvrdit výzvu „nebezpečí“, která se zobrazí pro spuštění kódu.

Mějte na paměti, že za určitých okolností může prohlížeč a dokonce i operační systém zmrazit nebo selhat. Před spuštěním nebo spuštěním v testovacím prostředí se ujistěte, že jste uložili veškerou práci.

Ovlivněny jsou všechny aktuální verze prohlížeče Firefox pro počítače, včetně verze Nightly a Beta prohlížeče.

Zdá se, že Mozilla o problému ví a právě teď pracuje na řešení. Haddouche dříve vydal exploity pro Chrome, Safari a iOS, které podobně ovlivňují prohlížeče a operační systémy.

Podívejte se na Pure CSS shazuje iPhony pro naše pokrytí jednoho z problémů.

Závěrečná slova

Tento problém se týká všech posledních verzí webového prohlížeče Firefox. Zdá se nepravděpodobné, že by tato záležitost byla využita ve větším měřítku; Přesto se zdá, že uživatelé Firefoxu mohou právě teď udělat jen málo pro ochranu prohlížeče před tímto problémem. Nezdá se, že by nastavení chování prohlížeče při stahování na „vždy se zeptat“ bránilo.

Rozšíření prohlížeče, jako je NoScript, ve výchozím nastavení zabraňuje spouštění skriptů.