Pahina ng Pagsubok ng Reaperbugs.com
Ang isang partikular na kahinaan sa kasalukuyang browser ng Firefox ay nalutas ng mananaliksik sa seguridad at karaniwang tagalikha ng bug na ito, Sabri Haddouche sa kanyang post sa blog. Itinuro niya ang isang bug na nagdadala ng browser at pati na rin ang operating system na posibleng may pag-atake ng pag-atake na 'Reap Firefox'. Ang kahinaan na ito ay nakakaapekto sa mga bersyon ng Firefox na gumagana sa ilalim ng Linux, macOS at Windows.
Sa isang tweet, itinuro niya ang lahat ng mga katotohanan tungkol sa bagong tuklas na ito.
Pagkatapos #Mailsploit , naglalabas #BrowserReaper kaya maaari mong patayin ang iyong browser.
Karagdagang informasiyon: https://t.co/9Ls3AKps72
- sh (@pwnsdx) Setyembre 23, 2018
Sa reaperbugs.com , Nagbigay si Haddouce ng isang pagsubok para sa iba't ibang mga browser kabilang ang REAP Chrome, REAP Safari, REAP Firefox. Kapag nag-click sa REAP icon ng Firefox sa Firefox, lilitaw ang isang dialog box na may babala. Kung kinumpirma ito ng gumagamit, ang Firefox browser ay agad na mag-freeze pagkatapos. Sa Windows 7 SP1, hindi posible na kanselahin ang dialog box sa pamamagitan lamang ng pagpindot sa Close button o kahit sa pamamagitan ng Task Manager dahil sa dami ng hiniling na memorya. Nanatiling abala ang system at maaari lamang patayin sa pamamagitan ng pagpindot sa switch para sa isang mas mahabang tagal ng panahon.
Paano Gumagana ang Bug
Ibinigay ng Borncity.com a detalyadong pag-eehersisyo kung paano talaga gumagana ang bug na ito. Ang IPC channel ay binaha bilang isang resulta ng pag-atake na ito para sa interprocess na komunikasyon sa pagitan ng pangunahing proseso ng browser ng Firefox at isang subprocess. Dahil dito ay pinapunta ang browser sa isang nakapirming estado at humahantong sa pag-crash nito. Ito ay naiulat ni Haddouche din. Sa isang pakikipanayam sa B SleepingComputer puna niya, 'Ang nangyayari ay bumubuo kami ng isang file (isang patak) na naglalaman ng isang napakahabang filename at hinihimok ang gumagamit na i-download ito bawat 1ms, samakatuwid ay binabaha ang IPC channel sa pagitan ng bata at pangunahing proseso, ginagawa ang browser sa napaka-freeze. '
Mas partikular, nabuo ang isang file na naglalaman ng isang medyo mahabang filename. Sinenyasan nito ang proseso ng gumagamit na i-download ang file na ito bawat isang minuto. Ito ay natural na bumabaha sa IPC channel sa pagitan ng pangunahing proseso at proseso ng bata. Sa huli nagyeyelo ito sa browser. Kung sakaling ang isang gumagamit ay may kaugaliang bisitahin ang isang pahina na gumagamit ng pag-atake na ito sa bersyon ng desktop ng Firefox, titigil ang browser sa pagtugon. Maaaring matanggap ng gumagamit ang sumusunod na mensahe: Huminto sa pagtugon ang Firefox o isang bagay na katulad. Sa pinakapangit na senaryo, maaaring ganap na mag-crash ang browser at kung kinakailangan ay maaring ma-entrain ang operating system. Ang buong bagay ay maaaring gumana ngunit malamang sa kaso lamang ng Javascript ay naisaaktibo.
Sa kasalukuyan, ang pag-atake ay nakakaapekto sa mga gumagamit ng Firefox Beta, Firefox Quantum at Firefox Nightly. Gayunpaman, ang pag-atake na ito ay hindi makakaapekto sa mga gumagamit ng Firefox mobile browser. Nagbigay din si Haddouche Ang SleepingComputer na may posibleng solusyon sa bug na ito na nagsasaad na kinakailangan ng Firefox na mapigilan ang mga web site na mag-download ng maraming mga file nang walang pahintulot nang sabay-sabay.
Mga tag Firefox
