Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken - mitsamt Absturz-Button.

Artikel veröffentlicht am , Moritz Tremmel
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden.
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden. (Bild: Natã Figueiredo/unsplash)

Erst kürzlich hatte Sabri Haddouche mit Apples Browser Safari iPhones und iPads zum Abstürzen gebracht. Kurze Zeit später tauchte Ähnliches für Chrome auf. Jetzt trifft es Mozillas Firefox. Auch dieser kann mit wenigen Zeilen Javascript zum Absturz gebracht werden. Auf der Webseite Reaperbugs.com sammelt Haddouche die Schwachstellen - inklusive Quellcode und einem Button, der den Browser lahmlegt.

Stellenmarkt
  1. Softwareentwickler*in Abbrandvorgänge und Antriebssysteme
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut, EMI, Kandern, Freiburg im Breisgau
  2. Delphi Entwickler (m/w/d)
    medavis GmbH, Karlsruhe
Detailsuche

Der Sicherheitsforscher fand heraus, dass der Mozillas Browser abstürzt, wenn ein Script den Firefox-Nutzer jede Millisekunde dazu auffordert, eine Datei mit einem sehr langen Dateinamen herunterzuladen. Die Anfragen fluten den IPC Channel, der die Kommunikation zwischen dem Eltern- und dem Kindprozess vermittelt. Die Folge ist ein Einfrieren des Browsers bis hin zum Absturz. Im schlechtesten Fall verbraucht die Flut an Anfragen so viel Speicher, dass das Betriebssystem in Mitleidenschaft gezogen wird oder ebenfalls abstürzt.

Betroffen sind alle aktuellen Desktop-Versionen des Browsers, der mobile Firefox auf Android ist mit dem Script nicht angreifbar. Die iOS-Version ist von der bereits zuvor veröffentlichten CSS-Lücke in Apples Webkit-Implementierung betroffen. Apple zwingt alle Apps unter iOS, ihre hauseigene Webkit-Rendering-Engine für die Darstellung von Webseiten zu verwenden. Entsprechend sind auch alle Apps, die Webinhalte unter iOS darstellen, inklusive Mozillas Firefox und Apples Safari, von der Lücke betroffen.

Der Angriff unter iOS ist besondes fatal, da er das komplette Gerät binnen Sekunden zum Absturz bringt. Die wenigen Zeilen CSS-Code, die dafür benötigt werden, finden sich auf Github. Auch Safari unter MacOS ist von der Lücke betroffen.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Neben Safari und Firefox sind auch Chrome, Chromium und ChromeOS von einem ähnlichen Angriff betroffen. Sabri Haddouche veröffentlichte auf Twitter eine einzeilige Javascript-Schleife, die den Browser kurz einfriert und dann abstürzen lässt. Auf diesen Angriff soll auch Microsofts Edge anspringen. Ob und wann die Lücken gefixt werden, ist noch nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


FreiGeistler 27. Sep 2018

Warum?

Iruwen 26. Sep 2018

Wenn ein abstürzender Browser das OS mitnimmt ist das das eigentliche Problem. Wie armselig.

_2xs 26. Sep 2018

Firefox stürzt sowieso nach ner Weile ab, die sie das Speicherhandling IMMER noch nicht...

voidyvoid 26. Sep 2018

Also mein mobiler Chrome (unter Android 8.1 Sicherheitsupdate vom 01.09.2018) crasht beim...



Aktuell auf der Startseite von Golem.de
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
Artikel
  1. Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
    Unikate
    Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

    Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  2. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  3. Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
    Agile Softwareentwicklung
    Einfach mal so drauflos programmiert?

    Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
    Von Frank Heckel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /