Een nieuw ontdekte bug in de desktopversie van de Firefox-webbrowser kan de browser en onder bepaalde omstandigheden het hele besturingssysteem laten crashen.
Ontdekt en onthuld door beveiligingsonderzoeker Sabri Haddouche, zorgt de bug ervoor dat de Firefox-webbrowser crasht wanneer een specifiek voorbereide website in de webbrowser wordt geladen.
Wat er dan gebeurt, hangt af van het besturingssysteem. Firefox geeft de Crash Reporter-prompt van de browser weer op Linux en Mac OS X die kan worden gebruikt om Mozilla over de crash te informeren en Firefox opnieuw te starten.
Firefox-gebruikers op Windows die een website laden die specifiek is voorbereid, zullen merken dat het hele besturingssysteem vastloopt. De enige optie om hieruit te komen, is de pc opnieuw instellen zodat deze opnieuw wordt opgestart.
Opmerking : ik probeerde de bug op een Linux-distributie in een virtuele machine en Firefox crashte niet toen ik een pagina opende met de exploit-code. Firefox gaf de waarschuwing "Kan download niet opslaan" en het tabblad is gecrasht. De crash had geen effect op andere geopende tabbladen in de browser.
Je kunt de code bekijken op de GitHub-website van de onderzoeker. De exploitcode genereert bestanden met lange bestandsnamen en start elke milliseconde een bestandsdownload. De crash wordt veroorzaakt door de stroom van aanvragen die op zijn minst de webbrowser bevriezen.
Een live-versie van de exploit is beschikbaar op Reaper Bugs, de website van de onderzoeker. Het openen van de site zelf heeft geen negatieve invloed op de browser. U moet een van de beschikbare exploits selecteren, bijvoorbeeld Reap Firefox, en de prompt "gevaar" bevestigen die wordt weergegeven om de code uit te voeren.
Merk op dat het de browser en zelfs het besturingssysteem onder bepaalde omstandigheden kan bevriezen of laten crashen. Zorg ervoor dat u al het werk hebt opgeslagen voordat u het uitvoert of in een testomgeving uitvoert.
Alle huidige versies van Firefox voor de desktop worden beïnvloed, inclusief Nightly- en Beta-versies van de browser.
Mozilla lijkt zich bewust te zijn van het probleem en werkt momenteel aan een oplossing. Haddouche bracht eerder exploits voor Chrome, Safari en iOS uit die de browsers en besturingssystemen op dezelfde manier beïnvloeden.
Bekijk Pure CSS crasht iPhones voor onze dekking van een van de problemen.
Slotwoorden
Alle recente versies van de Firefox-webbrowser hebben last van het probleem. Het lijkt onwaarschijnlijk dat het probleem op grotere schaal zal worden geëxploiteerd; toch lijkt er weinig dat Firefox-gebruikers nu kunnen doen om de browser tegen het probleem te beschermen. Het instellen van het downloadgedrag van de browser op "altijd vragen" lijkt dit niet te voorkomen.
Een browserextensie zoals NoScript voorkomt dat scripts standaard worden uitgevoerd.
