Mozilla Firefox DOS

16

Cei de la ha.ckers.org au remarcat o vulnerabilitate destul de urata in Mozilla Firefox, una care poate duce la blocarea totala a browserului. Acest atac este recunoscut ca un atac de tipul Denial of Service (DOS) si poate fi extrem de periculos pentru ca va duce la intreruperea brusca a browserului. Tot ce nu este salvat se va pierde in cateva secunde.

Ideea de baza a atacului este incarcarea unui numar urias de taburi in cel mai scurt timp posibil. Evident, memoria browserului se va incarca pana va crapa. Teoretic aceasta modalitate de a rula un ciclu la infinit este detectata de browserul Firefox generand de cele mai multe ori : „A script on this page may be busy or it may have stopped responding”.

In aceste situatii, avem cateva mici probleme, browserul crapand in cateva secunde. Ce e de facut? Momentan nimic, trebuie doar sa avem grija unde intram si ce facem. Celelalte browsere au reusit cu succes sa blocheze scriptul relativ repede. Dintre toate, Internet Explorer s-a descurcat cel mai bine, avertizandu-ne de prezenta unui script ce ar duce la blocarea paginii, Opera deschizand un singur Tab iar Chrome deschizand cateva zeci dupa care oprindu-le. 🙂

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

16 Comentarii

  1. Condurache Bogdan spune:
    iunie 22, 2010 la 1:59 pm

    WTF?!??
    IE is secure?
    Oau, asta da stire. Esti sigur ca e vorba de internet explorer? Cel produs de Microsoft? 😀
    Firefox se blocheaza si in utilizarea de zi cu zi, sa nu mai zic si de DOS. Interesant. Dar oricum IE ramane cu alte zeci de probleme. Aveam nevoie sa accesez un site care mi-ar fi salvat niste chei in registri. Imi trebuia la un program. Firefox, Opera si Chrome deschideau doar un tab nou in care aparea un fisier text cu locatia unde ar trebui puse cheile. In IE mi s-a pus o singura intrebare si gata, a mers. Un test facut de curand de CHIP arata ca Opera e cel mai sigur browser. Acum cateva luni, tot dupa un test facut de ei cel mai sigur era Firefox. Acum vad ca toata lumea s-a reprofilat, de cand cu schimbarile in revistele de specialitate. Acum ceva timp toti recomandau ca AV Avira si ca browser FIrefox. Acum toti ca browser Chrome sau Opera si AV Avast. Eu zic ca cel mai bine e sa folosesti ce iti place si ce merge bine pe PC-ul tau, nu sa te lasi influentat de tot felul de review-uri si pareri de la Doru, care a instalat Windowsul 😀
    PS:Scuze pentru eventualele greselile gramaticale.

  2. SirGod spune:
    iunie 22, 2010 la 2:36 pm

    Mozilla Firefox a avut mereu probleme cu stabilitatea.

  3. Ndrey spune:
    iunie 22, 2010 la 5:34 pm

    Pe mine cand deschid mai multe taburi ma intreaba daca sunt de acord..

  4. Cata spune:
    iunie 22, 2010 la 5:36 pm

    Am intalnit de multe ori acest defect. A fost foarte urat.

  5. Ndrey spune:
    iunie 22, 2010 la 5:37 pm

    A si inca ceva, pe XP nu face asa.. Am testat pe un Intel Celeron si XP si nu se blocheaza 🙂

  6. Andrei Avadanei spune:
    iunie 22, 2010 la 5:45 pm

    Foarte interesanta observatia NDrey. Ar fi super daca ar mai veni cineva cu XP sa faca aceeasi observatie. 🙂

  7. Radu spune:
    iunie 22, 2010 la 5:51 pm

    Avira vede site-ul de atac drept HTML\Shellcode.Gen.
    Cel mai probabil detecteaza la fel orice alt site ce incearca sa foloseasca aceasta tehnica DOS.
    So… Avira protects 😀

  8. Alexandru spune:
    iunie 22, 2010 la 5:54 pm

    Am incercat si eu aceasta vulnerabilitate dar de data aceasta pe Ubuntu 10.04 LTS, Mozilla Firefox 3.6.3 si la fel face.

  9. Radu spune:
    iunie 22, 2010 la 5:59 pm

    Am testat si Firefox 3.7 Alpha 5. Vulnerabilitatea este prezenta de asemenea.

    • Andrei Avadanei spune:
      iunie 22, 2010 la 6:49 pm

      Sa speram ca de la 4.x in sus vom scapa de problemele astea de instabilitate. Daca viteza nu va creste vizibil la noua versiune cu siguranta ma voi reprofila pe ceva mai rapid. 🙂

  10. Condurache Bogdan spune:
    iunie 22, 2010 la 7:04 pm

    Cred ca in cateva zile vor lansa un update care sa rezolve aceasta problema.
    @Andrei:
    Tradatorule!! :))) Sa nu indraznesti sa treci la Chrome !
    😀

  11. pax spune:
    iunie 22, 2010 la 10:04 pm

    Mi se pare ca atunci cand faci un popup ( in stilul asta http://rstcenter.com/forum/19714-popup.rst#post125973 , mai putin onload pe body si onclick pe a href ) firefox ti-l deschide intr-un nou tab. Faci un loop -> crash.

  12. Marian spune:
    iunie 23, 2010 la 6:20 am

    @Andrei:
    Cam greu cu stabilitatea si viteza.
    Din cate vad acum, se da atentie pe ce nu trebuie (design, floricele diverse, butonase, culori), si toate astea incepand de la OS. Peste 2-3 ani o sa ne trebuiasca 16 GB de ram pentru un browser amarat.

  13. Condurache Bogdan spune:
    iunie 23, 2010 la 11:23 am

    A aparut deja versiunea 3.6.4 care tot nu rezolva aceasta problema :)))

  14. Radu spune:
    iunie 23, 2010 la 2:56 pm

    @Condurache Bogdan: Versiunea 3.6.4 final este aceeasi cu 3.6.4 build 7 care era disponibila de vreo 1-2 saptamani.
    Deci nu au mai modificat nimic.

  15. Condurache Bogdan spune:
    iunie 23, 2010 la 3:27 pm

    @Radu
    Puteau sa faca si ei o mica modificare 😛