Ein neu entdeckter Fehler in der Desktop-Version des Firefox-Webbrowsers kann zum Absturz des Browsers und unter bestimmten Umständen des gesamten Betriebssystems führen.
Der Fehler, der von der Sicherheitsforscherin Sabri Haddouche entdeckt und aufgedeckt wurde, führt zum Absturz des Firefox-Webbrowsers, wenn eine speziell vorbereitete Website in den Webbrowser geladen wird.
Was dann passiert, hängt vom Betriebssystem ab. Firefox zeigt unter Linux und Mac OS X die Eingabeaufforderung Crash Reporter des Browsers an, mit der Mozilla über den Absturz informiert und Firefox neu gestartet werden kann.
Firefox-Benutzer unter Windows, die eine speziell vorbereitete Website laden, werden feststellen, dass das gesamte Betriebssystem abstürzt. Die einzige Möglichkeit, dies zu beenden, besteht darin, den PC zurückzusetzen, damit er neu startet.
Hinweis : Ich habe den Fehler auf einer Linux-Distribution in einer virtuellen Maschine ausprobiert und Firefox ist nicht abgestürzt, als ich eine Seite geöffnet habe, die den Exploit-Code enthielt. Firefox zeigte die Warnmeldung "Download kann nicht gespeichert werden" an und die Registerkarte stürzte ab. Der Absturz hatte keine Auswirkungen auf andere im Browser geöffnete Registerkarten.
Sie können den Code auf der GitHub-Website des Forschers nachlesen. Der Exploit-Code generiert Dateien mit langen Dateinamen und initiiert alle Millisekunden einen Dateidownload. Der Absturz wird durch die Flut von Anfragen verursacht, die den Webbrowser zumindest zum Stillstand bringen.
Eine Live-Version des Exploits ist auf der Website des Forschers Reaper Bugs verfügbar. Das Öffnen der Site selbst hat keine negativen Auswirkungen auf den Browser. Sie müssen einen der verfügbaren Exploits auswählen, z. B. Reap Firefox, und die angezeigte Sicherheitsabfrage bestätigen, um den Code auszuführen.
Beachten Sie, dass der Browser und unter bestimmten Umständen auch das Betriebssystem einfrieren oder abstürzen können. Stellen Sie sicher, dass Sie alle Arbeiten gespeichert haben, bevor Sie sie ausführen, oder führen Sie sie in einer Testumgebung aus.
Alle aktuellen Versionen von Firefox für den Desktop sind betroffen, einschließlich der Nightly- und Beta-Versionen des Browsers.
Mozilla scheint sich des Problems bewusst zu sein und arbeitet derzeit an einer Lösung. Haddouche hat bereits Exploits für Chrome, Safari und iOS veröffentlicht, die sich auf ähnliche Weise auf Browser und Betriebssysteme auswirken.
Lesen Sie, wie Pure CSS iPhones abstürzt, um eines der Probleme zu behandeln.
Schlussworte
Alle neueren Versionen des Firefox-Webbrowsers sind von dem Problem betroffen. Es ist unwahrscheinlich, dass das Problem in größerem Umfang ausgenutzt wird. Es scheint jedoch wenig zu geben, was Firefox-Benutzer derzeit tun können, um den Browser vor dem Problem zu schützen. Das Einstellen des Download-Verhaltens des Browsers auf "Immer fragen" scheint dies nicht zu verhindern.
Eine Browsererweiterung wie NoScript verhindert, dass Skripts standardmäßig ausgeführt werden.
