Abo
  • Services:

Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken - mitsamt Absturz-Button.

Artikel veröffentlicht am , Moritz Tremmel
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden.
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden. (Bild: Natã Figueiredo/unsplash)

Erst kürzlich hatte Sabri Haddouche mit Apples Browser Safari iPhones und iPads zum Abstürzen gebracht. Kurze Zeit später tauchte Ähnliches für Chrome auf. Jetzt trifft es Mozillas Firefox. Auch dieser kann mit wenigen Zeilen Javascript zum Absturz gebracht werden. Auf der Webseite Reaperbugs.com sammelt Haddouche die Schwachstellen - inklusive Quellcode und einem Button, der den Browser lahmlegt.

Stellenmarkt
  1. ip-fabric GmbH, München
  2. alanta health group GmbH, Hamburg

Der Sicherheitsforscher fand heraus, dass der Mozillas Browser abstürzt, wenn ein Script den Firefox-Nutzer jede Millisekunde dazu auffordert, eine Datei mit einem sehr langen Dateinamen herunterzuladen. Die Anfragen fluten den IPC Channel, der die Kommunikation zwischen dem Eltern- und dem Kindprozess vermittelt. Die Folge ist ein Einfrieren des Browsers bis hin zum Absturz. Im schlechtesten Fall verbraucht die Flut an Anfragen so viel Speicher, dass das Betriebssystem in Mitleidenschaft gezogen wird oder ebenfalls abstürzt.

Betroffen sind alle aktuellen Desktop-Versionen des Browsers, der mobile Firefox auf Android ist mit dem Script nicht angreifbar. Die iOS-Version ist von der bereits zuvor veröffentlichten CSS-Lücke in Apples Webkit-Implementierung betroffen. Apple zwingt alle Apps unter iOS, ihre hauseigene Webkit-Rendering-Engine für die Darstellung von Webseiten zu verwenden. Entsprechend sind auch alle Apps, die Webinhalte unter iOS darstellen, inklusive Mozillas Firefox und Apples Safari, von der Lücke betroffen.

Der Angriff unter iOS ist besondes fatal, da er das komplette Gerät binnen Sekunden zum Absturz bringt. Die wenigen Zeilen CSS-Code, die dafür benötigt werden, finden sich auf Github. Auch Safari unter MacOS ist von der Lücke betroffen.

Neben Safari und Firefox sind auch Chrome, Chromium und ChromeOS von einem ähnlichen Angriff betroffen. Sabri Haddouche veröffentlichte auf Twitter eine einzeilige Javascript-Schleife, die den Browser kurz einfriert und dann abstürzen lässt. Auf diesen Angriff soll auch Microsofts Edge anspringen. Ob und wann die Lücken gefixt werden, ist noch nicht bekannt.



Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...
  3. 319,90€ (Bestpreis!)

FreiGeistler 27. Sep 2018

Warum?

Iruwen 26. Sep 2018

Wenn ein abstürzender Browser das OS mitnimmt ist das das eigentliche Problem. Wie armselig.

_2xs 26. Sep 2018

Firefox stürzt sowieso nach ner Weile ab, die sie das Speicherhandling IMMER noch nicht...

voidyvoid 26. Sep 2018

Also mein mobiler Chrome (unter Android 8.1 Sicherheitsupdate vom 01.09.2018) crasht beim...

itse 25. Sep 2018

ps: ich chatte dort nicht ;)


Folgen Sie uns
       


B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Openbook ausprobiert: Wie Facebook, nur anders
Openbook ausprobiert
Wie Facebook, nur anders

Seit gut drei Wochen ist das werbe- und trackingfreie soziale Netzwerk Openbook für die Kickstarter-Unterstützer online. Golem.de ist dabei - und freut sich über den angenehmen Umgangston und interessante neue Kontakte.
Ein Test von Tobias Költzsch

  1. Hack Verwaiste Twitter-Konten posten IS-Propaganda
  2. Openbook Open-Source-Alternative zu Facebook versucht es noch einmal
  3. Klage eingereicht Tinder-Mitgründer fordern Milliarden von Mutterkonzern

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Mobile-Games-Auslese: Rollenspiel-Frühling mit leichten Schusswechseln
Mobile-Games-Auslese
Rollenspiel-Frühling mit leichten Schusswechseln

Action im Stil von Overwatch bietet Frag Pro Shooter, dazu kommt Retro-Arcade-Spaß mit Cure Hunters und eine gelungene Umsetzung des Brettspiels Die Burgen von Burgund: Neue Mobile Games sorgen für viel Abwechslung.
Von Rainer Sigl

  1. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  2. Indiegames Stardew Valley kommt auf Android
  3. Mobile-Games-Auslese Die Evolution als Smartphone-Strategiespiel

    •  /