Abo
  • IT-Karriere:

Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken - mitsamt Absturz-Button.

Artikel veröffentlicht am , Moritz Tremmel
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden.
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden. (Bild: Natã Figueiredo/unsplash)

Erst kürzlich hatte Sabri Haddouche mit Apples Browser Safari iPhones und iPads zum Abstürzen gebracht. Kurze Zeit später tauchte Ähnliches für Chrome auf. Jetzt trifft es Mozillas Firefox. Auch dieser kann mit wenigen Zeilen Javascript zum Absturz gebracht werden. Auf der Webseite Reaperbugs.com sammelt Haddouche die Schwachstellen - inklusive Quellcode und einem Button, der den Browser lahmlegt.

Stellenmarkt
  1. sunhill technologies GmbH, Erlangen
  2. Fiducia & GAD IT AG, Karlsruhe

Der Sicherheitsforscher fand heraus, dass der Mozillas Browser abstürzt, wenn ein Script den Firefox-Nutzer jede Millisekunde dazu auffordert, eine Datei mit einem sehr langen Dateinamen herunterzuladen. Die Anfragen fluten den IPC Channel, der die Kommunikation zwischen dem Eltern- und dem Kindprozess vermittelt. Die Folge ist ein Einfrieren des Browsers bis hin zum Absturz. Im schlechtesten Fall verbraucht die Flut an Anfragen so viel Speicher, dass das Betriebssystem in Mitleidenschaft gezogen wird oder ebenfalls abstürzt.

Betroffen sind alle aktuellen Desktop-Versionen des Browsers, der mobile Firefox auf Android ist mit dem Script nicht angreifbar. Die iOS-Version ist von der bereits zuvor veröffentlichten CSS-Lücke in Apples Webkit-Implementierung betroffen. Apple zwingt alle Apps unter iOS, ihre hauseigene Webkit-Rendering-Engine für die Darstellung von Webseiten zu verwenden. Entsprechend sind auch alle Apps, die Webinhalte unter iOS darstellen, inklusive Mozillas Firefox und Apples Safari, von der Lücke betroffen.

Der Angriff unter iOS ist besondes fatal, da er das komplette Gerät binnen Sekunden zum Absturz bringt. Die wenigen Zeilen CSS-Code, die dafür benötigt werden, finden sich auf Github. Auch Safari unter MacOS ist von der Lücke betroffen.

Neben Safari und Firefox sind auch Chrome, Chromium und ChromeOS von einem ähnlichen Angriff betroffen. Sabri Haddouche veröffentlichte auf Twitter eine einzeilige Javascript-Schleife, die den Browser kurz einfriert und dann abstürzen lässt. Auf diesen Angriff soll auch Microsofts Edge anspringen. Ob und wann die Lücken gefixt werden, ist noch nicht bekannt.



Anzeige
Spiele-Angebote
  1. 33,95€
  2. (-56%) 19,99€
  3. 32,99€

FreiGeistler 27. Sep 2018

Warum?

Iruwen 26. Sep 2018

Wenn ein abstürzender Browser das OS mitnimmt ist das das eigentliche Problem. Wie armselig.

_2xs 26. Sep 2018

Firefox stürzt sowieso nach ner Weile ab, die sie das Speicherhandling IMMER noch nicht...

voidyvoid 26. Sep 2018

Also mein mobiler Chrome (unter Android 8.1 Sicherheitsupdate vom 01.09.2018) crasht beim...

itse 25. Sep 2018

ps: ich chatte dort nicht ;)


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

    •  /