Un nuovo bug scoperto nella versione desktop del browser Web Firefox potrebbe causare l'arresto anomalo del browser e in determinate circostanze l'intero sistema operativo.
Scoperto e rivelato dal ricercatore di sicurezza Sabri Haddouche, il bug provoca l'arresto anomalo del browser Web Firefox quando un sito Web appositamente preparato viene caricato nel browser Web.
Ciò che accade dipende dal sistema operativo. Firefox visualizza il prompt di Crash Reporter del browser su Linux e Mac OS X che può essere utilizzato per informare Mozilla del crash e riavviare Firefox.
Gli utenti di Firefox su Windows che caricano un sito Web appositamente preparato noteranno che l'intero sistema operativo si blocca. L'unica opzione per uscire da questo è ripristinare il PC in modo che si riavvii.
Nota : ho provato il bug su una distribuzione Linux in una macchina virtuale e Firefox non si è arrestato in modo anomalo quando ho aperto una pagina che includeva il codice di exploit. Firefox ha visualizzato un messaggio di avviso "impossibile salvare il download" e la scheda si è bloccata. L'incidente non ha avuto effetto su altre schede aperte nel browser.
Puoi controllare il codice sul sito web GitHub del ricercatore. Il codice exploit genera file con nomi di file lunghi e avvia un download di file ogni millisecondo. L'incidente è causato dall'ondata di richieste che per lo meno congelano il browser web.
Una versione live dell'exploit è disponibile sul sito web del ricercatore Reaper Bugs. L'apertura del sito stesso non ha alcun impatto negativo sul browser. Devi selezionare uno degli exploit disponibili, ad esempio Reap Firefox, e confermare il prompt "pericolo" che viene visualizzato per eseguire il codice.
Si noti che potrebbe bloccare o bloccare il browser e persino il sistema operativo in determinate circostanze. Assicurarsi di aver salvato tutto il lavoro prima di eseguirlo o eseguirlo in un ambiente di test.
Tutte le versioni correnti di Firefox per desktop sono interessate, incluse le versioni Nightly e Beta del browser.
Mozilla sembra essere a conoscenza del problema e al momento sta lavorando a una soluzione. Haddouche ha rilasciato exploit per Chrome, Safari e iOS in precedenza che influenzano i browser e i sistemi operativi in modo simile.
Dai un'occhiata a Pure CSS arresta in modo anomalo iPhone per la nostra copertura di uno dei problemi.
Parole di chiusura
Tutte le versioni recenti del browser Web Firefox sono interessate dal problema. Sembra improbabile che il problema venga sfruttato su larga scala; tuttavia, sembra che ci sia poco che gli utenti di Firefox possano fare proprio ora per proteggere il browser dal problema. L'impostazione del comportamento di download del browser su "chiedi sempre" non sembra impedirlo.
Un'estensione del browser come NoScript impedisce l'esecuzione predefinita degli script.
