Firefox Quantum, Beta และ Nightly ได้รับผลกระทบจาก 'Reap Firefox' Crash Attack

ความปลอดภัย / Firefox Quantum, Beta และ Nightly ได้รับผลกระทบจาก 'Reap Firefox' Crash Attack อ่าน 2 นาที

หน้าทดสอบ Reaperbugs.com

ช่องโหว่เฉพาะในเบราว์เซอร์ Firefox ปัจจุบันได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัยและโดยพื้นฐานแล้ว Sabri Haddouche เป็นผู้สร้างข้อบกพร่องนี้ในบล็อกโพสต์ของเขา เขาชี้ไปที่จุดบกพร่องที่ทำให้เบราว์เซอร์และระบบปฏิบัติการอาจเกิดข้อขัดข้องในการโจมตี 'Reap Firefox' ช่องโหว่นี้ส่งผลกระทบต่อ Firefox เวอร์ชันที่ทำงานภายใต้ Linux, macOS และ Windows

windows xp หน้าจอดำ

ในทวีตเขาชี้ไปที่ข้อเท็จจริงทั้งหมดเกี่ยวกับการค้นพบใหม่นี้

หลังจาก # ฝากข้อความ , ปล่อย #BrowserReaper เพื่อให้คุณสามารถฆ่าเบราว์เซอร์ของคุณได้
ข้อมูลมากกว่านี้: https://t.co/9Ls3AKps72

- ช (@pwnsdx) 23 กันยายน 2561

microsoft virtual wifi miniport adapter

บน reaperbugs.com Haddouce จัดให้มีการทดสอบสำหรับเบราว์เซอร์ต่างๆเช่น REAP Chrome, REAP Safari, REAP Firefox เมื่อคลิกที่ไอคอน REAP Firefox ใน Firefox กล่องโต้ตอบพร้อมคำเตือนจะปรากฏขึ้น หากผู้ใช้ยืนยันเบราว์เซอร์ Firefox จะหยุดทำงานทันทีหลังจากนั้น ใน Windows 7 SP1 ไม่สามารถยกเลิกกล่องโต้ตอบได้เพียงแค่กดปุ่มปิดหรือแม้กระทั่งผ่านตัวจัดการงานเนื่องจากจำนวนหน่วยความจำที่ร้องขอ ระบบยังคงไม่ว่างและสามารถปิดได้โดยการกดสวิตช์เป็นระยะเวลานานขึ้นเท่านั้น

Bug ทำงานอย่างไร

Borncity.com ให้ การออกกำลังกายโดยละเอียด ว่าข้อผิดพลาดนี้ทำงานอย่างไร ช่อง IPC ถูกท่วมเนื่องจากการโจมตีนี้สำหรับการสื่อสารระหว่างกระบวนการระหว่างกระบวนการเบราว์เซอร์หลักของ Firefox และกระบวนการย่อย ส่งผลให้เบราว์เซอร์อยู่ในสถานะแช่แข็งและนำไปสู่ความผิดพลาดในที่สุด รายงานโดย Haddouche เช่นกัน ในการให้สัมภาษณ์กับ BleepingComputer เขาแสดงความคิดเห็นว่า“ สิ่งที่เกิดขึ้นคือเราสร้างไฟล์ (หยด) ที่มีชื่อไฟล์ที่ยาวมากและแจ้งให้ผู้ใช้ดาวน์โหลดทุกๆ 1 มิลลิวินาทีดังนั้นมันจึงท่วมช่อง IPC ระหว่างกระบวนการย่อยและกระบวนการหลักทำให้เบราว์เซอร์อยู่ที่ หยุดอย่างน้อยที่สุด”

โดยเฉพาะอย่างยิ่งไฟล์ถูกสร้างขึ้นซึ่งมีชื่อไฟล์ที่ค่อนข้างยาว จะแจ้งให้ผู้ใช้ดำเนินการดาวน์โหลดไฟล์นี้ทุก ๆ หนึ่งนาที โดยธรรมชาติจะทำให้ช่อง IPC ท่วมระหว่างกระบวนการหลักและกระบวนการย่อย ในที่สุดมันก็ค้างเบราว์เซอร์ ในกรณีที่ผู้ใช้มีแนวโน้มที่จะเข้าชมหน้าที่ใช้การโจมตีนี้กับเวอร์ชันเดสก์ท็อปของ Firefox เบราว์เซอร์จะหยุดตอบสนอง ผู้ใช้อาจได้รับข้อความต่อไปนี้: Firefox หยุดตอบสนองหรือสิ่งที่คล้ายกัน ในสถานการณ์ที่เลวร้ายที่สุดเบราว์เซอร์อาจขัดข้องโดยสิ้นเชิงและหากจำเป็นอาจไปรบกวนระบบปฏิบัติการ สิ่งทั้งหมดอาจใช้งานได้ แต่ส่วนใหญ่จะเป็นไปได้ในกรณีที่เปิดใช้งาน Javascript เท่านั้น

ปัจจุบันการโจมตีส่งผลกระทบต่อผู้ใช้ Firefox Beta, Firefox Quantum และ Firefox Nightly อย่างไรก็ตามการโจมตีนี้จะไม่ส่งผลกระทบต่อผู้ใช้เบราว์เซอร์มือถือ Firefox Haddouche ให้ด้วย BleepingComputer พร้อมโซลูชันที่เป็นไปได้ ถึงจุดบกพร่องนี้ซึ่งส่งผลให้ Firefox กำหนดให้เว็บไซต์ถูกป้องกันไม่ให้ดาวน์โหลดไฟล์หลายไฟล์โดยไม่ได้รับอนุญาตพร้อมกัน

แท็ก Firefox