Новооткрита грешка в настолната версия на уеб браузъра Firefox може да срине браузъра и при определени обстоятелства цялата операционна система.
Открита и разкрита от изследователя по сигурността Sabri Haddouche, бъгът води до срив на уеб браузъра Firefox, когато в уеб браузъра се зареди специално подготвен уебсайт.
Какво ще се случи след това зависи от операционната система. Firefox показва подкана Crash Reporter на браузъра на Linux и Mac OS X, който може да се използва за информиране на Mozilla за срива и рестартиране на Firefox.
Потребителите на Firefox в Windows, които зареждат уебсайт, който е специално подготвен, ще забележат, че цялата операционна система замръзва. Единствената възможност да излезете от това е да рестартирате компютъра, така че да се рестартира.
Забележка : Опитах грешката в дистрибуция на Linux във виртуална машина и Firefox не се срива, когато отворих страница, която включва кода на експлоатацията. Firefox показва предупредително съобщение „не мога да запазя изтегляне“ и разделът се срива. Сривът няма ефект върху други раздели, отворени в браузъра.
Можете да проверите кода на уебсайта на GitHub на изследователя. Кодът на експлоатацията генерира файлове с дълги имена на файлове и инициира изтегляне на файл на всеки милисекунда. Сривът е причинен от потопа от заявки, които най-малкото замразяват уеб браузъра.
Жива версия на експлоатацията е достъпна на уебсайта на изследователя Reaper Bugs. Самото отваряне на сайта няма отрицателно въздействие върху браузъра. Трябва да изберете един от наличните експлоатации, например Reap Firefox, и да потвърдите подкана „опасност“, който се показва, за да стартирате кода.
Имайте предвид, че при определени обстоятелства той може да замрази или срине браузъра и дори операционната система. Уверете се, че сте запазили цялата работа, преди да я стартирате или да я стартирате в тестова среда.
Всички текущи версии на Firefox за работния плот са засегнати, включително Nightly и Beta версиите на браузъра.
Mozilla изглежда е наясно с проблема и работи по решение в момента. Преди това Haddouche пусна експлоатации за Chrome, Safari и iOS, които засягат браузърите и операционните системи по подобен начин.
Вижте Pure CSS срива iPhone за нашето отразяване на един от проблемите.
Заключителни думи
Всички последни версии на уеб браузъра Firefox са засегнати от проблема. Изглежда малко вероятно въпросът да бъде експлоатиран в по-голям мащаб; все пак изглежда, че потребителите на Firefox могат да направят точно сега, за да защитят браузъра от проблема. Определянето на поведението на браузъра за изтегляне на „винаги искам“ изглежда не му пречи.
Разширение на браузър като NoScript предотвратява стартирането на скриптове по подразбиране.
