Bezpieczeństwo w sieci

Nowy Firefox z poważnym błędem. Występuje na Windows, macOS i Linux

Jakub Szczęsny
Nowy Firefox z poważnym błędem. Występuje na Windows, macOS i Linux
4

Jak wynika z doniesień pochodzących od Sabri'ego Haddouche, najnowsza odsłona programu Mozilla Firefox naznaczona jest dosyć poważnym błędem pozwalającym nawet na zawieszenie maszyny, na której jest uruchomiony. Podatność występuje niezależnie od systemu operacyjnego, na którym pracuje przeglądarka - a zatem można ją wywołać na Windows, macOS oraz Linuksie.

Dziennikarze oraz badacze weryfikujący rewelacje Haddouche'ego wykazali, że platformy mobilne - Android oraz iOS są wolne od tego błędu. Natomiast w przypadku Windows, macOS i Linuksów może okazać się, że unieruchomiona zostanie nie tylko sama przeglądarka, ale i system, co ostatecznie zakończy się przymusowym resetem. Ekspert ds. cyberbezpieczeństwa postanowił wykorzystać lukę w mechanizmie Inter-Process Communication odpowiedzialnym za komunikację między procesami Firefoksa - przeglądarka korzysta z jednego głównego oraz kilku dodatkowych - obecnych w systemie w zależności od aktualnego zapotrzebowania.

Haddouche stworzył skrypt, który generuje plik o bardzo długiej nazwie, który następnie jest wysyłany do przeglądarki wraz z żądaniem jego pobrania. O ile jednokrotne żądanie najpewniej nie wyrządziłoby szkody użytkownikowi - skrypt jest skonstruowany w taki sposób, aby ponawiać prośbę co milisekundę. Bardzo szybko doprowadza to do zapchania kanału komunikacyjnego między procesami Firefoksa (wspomniany IPC), a następnie to zawieszenia się programu, albo nawet i całej maszyny.

Dziennikarze oraz badacze weryfikujący rewelacje Haddouche'ego wykazali, że platformy mobilne - Android oraz iOS są wolne od tego błędu. Natomiast w przypadku Windows, macOS i Linuksów może okazać się, że unieruchomiona zostanie nie tylko sama przeglądarka, ale i system, co ostatecznie zakończy się przymusowym resetem. Ekspert ds. cyberbezpieczeństwa postanowił wykorzystać lukę w mechanizmie Inter-Process Communication odpowiedzialnym za komunikację między procesami Firefoksa - przeglądarka korzysta z jednego głównego oraz kilku dodatkowych - obecnych w systemie w zależności od aktualnego zapotrzebowania.

Haddouche stworzył skrypt, który generuje plik o bardzo długiej nazwie, który następnie jest wysyłany do przeglądarki wraz z żądaniem jego pobrania. O ile jednokrotne żądanie najpewniej nie wyrządziłoby szkody użytkownikowi - skrypt jest skonstruowany w taki sposób, aby ponawiać prośbę co milisekundę. Bardzo szybko doprowadza to do zapchania kanału komunikacyjnego między procesami Firefoksa (wspomniany IPC), a następnie to zawieszenia się programu, albo nawet i całej maszyny.

Skrypt stworzony przez eksperta nie jest w żaden sposób niebezpieczny dla danych użytkownika, czy też kondycji maszyny. Wykorzystanie podatności nie zakłada wyciągnięcia informacji z komputera lub uszkodzenia urządzenia - największa szkoda jaka może się wydarzyć w trakcie jej eksploatowania to utrata niezapisanych efektów pracy.

Sabri Haddouche zgłosił już błąd do Mozilli. Firefox wkrótce ma zostać załatany

Podatność można wykorzystać na przeglądarce Mozilla Firefox w wersji 62. Sabri od razu po odkryciu tego błędu powiadomił producenta programu - stworzono dla tego celu osobny wątek w platformie wymiany informacji o lukach w tym produkcje (można podejrzeć stan prac nad poprawką likwidującą tą niedogodność). Biorąc pod uwagę niskie skomplikowanie problemu, być może jeszcze dziś pojawi się łatka naprawiająca wspomniany wyżej błąd.

Jeżeli chcecie sprawdzić działanie skryptu stworzonego przez Sabri'ego - przenieście się do strony, na której umieszcza on stworzone przez siebie skrypty - nie tylko dla przeglądarki Mozilli. Dostępne są również takie, które potrafią "ubić" także Google Chrome w wersji 69.0 (i wcześniejsze), a także Safari dla systemów macOS oraz iOS. Oczywiście nie polecamy robić tego w momencie, gdy aktualnie pracujecie nad czymkolwiek na swoich maszynach - przed przystąpieniem do jakichkolwiek testów warto więc zapisać pracę i liczyć się z tym, że w przypadku Firefoksa może dojść nawet do zawieszenia całej maszyny.

Więcej o Mozilla Firefox na Antyweb. Sprawdź najlepsze teksty

Skrypt stworzony przez eksperta nie jest w żaden sposób niebezpieczny dla danych użytkownika, czy też kondycji maszyny. Wykorzystanie podatności nie zakłada wyciągnięcia informacji z komputera lub uszkodzenia urządzenia - największa szkoda jaka może się wydarzyć w trakcie jej eksploatowania to utrata niezapisanych efektów pracy.

Sabri Haddouche zgłosił już błąd do Mozilli. Firefox wkrótce ma zostać załatany

Podatność można wykorzystać na przeglądarce Mozilla Firefox w wersji 62. Sabri od razu po odkryciu tego błędu powiadomił producenta programu - stworzono dla tego celu osobny wątek w platformie wymiany informacji o lukach w tym produkcje (można podejrzeć stan prac nad poprawką likwidującą tą niedogodność). Biorąc pod uwagę niskie skomplikowanie problemu, być może jeszcze dziś pojawi się łatka naprawiająca wspomniany wyżej błąd.

Jeżeli chcecie sprawdzić działanie skryptu stworzonego przez Sabri'ego - przenieście się do strony, na której umieszcza on stworzone przez siebie skrypty - nie tylko dla przeglądarki Mozilli. Dostępne są również takie, które potrafią "ubić" także Google Chrome w wersji 69.0 (i wcześniejsze), a także Safari dla systemów macOS oraz iOS. Oczywiście nie polecamy robić tego w momencie, gdy aktualnie pracujecie nad czymkolwiek na swoich maszynach - przed przystąpieniem do jakichkolwiek testów warto więc zapisać pracę i liczyć się z tym, że w przypadku Firefoksa może dojść nawet do zawieszenia całej maszyny.

Więcej o Mozilla Firefox na Antyweb. Sprawdź najlepsze teksty

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu