Kreiran je novi napad koji može srušiti ili zamrznuti rad Mozilla Firefox desktop pretraživača ako se posjeti web stranica koja sadrži ugrađeni JavaScript. Napad je kreirao sigurnosni stručnjak iz tvrtke Wire Sabri Haddouche koji je istraživao napade uskraćivanjem usluge (DoS) koji utječu na popularne web pretraživače. Neki od napada koje je kreirao mogu srušiti iPhone korištenjem CSS-a i HTML-a, objavio je Nacionalni CERT.

Napad se može izvršiti preplavljivanjem IPC kanala između glavnog procesa Firefox pretraživača i child procesa što rezultira zamrzavanjem i na kraju rušenjem servisa.

“Ono što se događa je kreiranje datoteka koja sadrži ekstremno dugačak naziv i navodi korisnika da ga preuzima svaku 1 ms, čime se zapuni IPC kanal između child i glavnog procesa što u najmanju ruku uzrokuje da se pretraživač zamrzne”, rekao je Haddouche za portal BleepingComputer.

Kada korisnici Firefox desktop aplikacije posjete web stranicu na kojoj je udomljen napad, njihov će pretraživač ubrzo postati neresponzivan, a korisnicima će se prikazati Not Responding poruka. U drugim slučajevima pretraživač se može potpuno srušiti.

Kako napad preplavljuje IPC kanal mogao bi zauzimati vrlo velike količine memorije ili zagušiti korištenje CPU-a, čime bi se mogle prekomjerno trošiti svi računalni resursi i rezultirati rušenjem samog operacijskog sustava.

Napad je testiran korištenjem posljednje verzije Firefox Quantum, Firefox Beta i Firefox Nightly desktop aplikacija i sve su ranjive.

Reap Firefox napad ne zahvaća mobilne Firefox pretraživače. Međutim, kako bi se izveo DoS napad na Mozzili za iOS mogao bi se iskoristiti Safari napad koji zahvaća pretraživač korištenjem WebKita koji se koristi na iOS-u.

Kako bi se uklonio ovaj bug, Haddouche naglašava da Firefox mora spriječiti web stranice da automatski preuzimaju više datoteka u isto vrijeme bez dozvole korisnika.

Podijeli: