Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken - mitsamt Absturz-Button.

Artikel veröffentlicht am , Moritz Tremmel
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden.
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden. (Bild: Natã Figueiredo/unsplash)

Erst kürzlich hatte Sabri Haddouche mit Apples Browser Safari iPhones und iPads zum Abstürzen gebracht. Kurze Zeit später tauchte Ähnliches für Chrome auf. Jetzt trifft es Mozillas Firefox. Auch dieser kann mit wenigen Zeilen Javascript zum Absturz gebracht werden. Auf der Webseite Reaperbugs.com sammelt Haddouche die Schwachstellen - inklusive Quellcode und einem Button, der den Browser lahmlegt.

Stellenmarkt
  1. Softwareentwickler Backend (m/w/d)
    eLearning Manufaktur GmbH, Kleve, Düsseldorf (Home-Office möglich)
  2. Transition Manager (m/w/d)
    Diehl Metall Stiftung & Co. KG, Röthenbach a. d. Pegnitz / Metropolregion Nürnberg
Detailsuche

Der Sicherheitsforscher fand heraus, dass der Mozillas Browser abstürzt, wenn ein Script den Firefox-Nutzer jede Millisekunde dazu auffordert, eine Datei mit einem sehr langen Dateinamen herunterzuladen. Die Anfragen fluten den IPC Channel, der die Kommunikation zwischen dem Eltern- und dem Kindprozess vermittelt. Die Folge ist ein Einfrieren des Browsers bis hin zum Absturz. Im schlechtesten Fall verbraucht die Flut an Anfragen so viel Speicher, dass das Betriebssystem in Mitleidenschaft gezogen wird oder ebenfalls abstürzt.

Betroffen sind alle aktuellen Desktop-Versionen des Browsers, der mobile Firefox auf Android ist mit dem Script nicht angreifbar. Die iOS-Version ist von der bereits zuvor veröffentlichten CSS-Lücke in Apples Webkit-Implementierung betroffen. Apple zwingt alle Apps unter iOS, ihre hauseigene Webkit-Rendering-Engine für die Darstellung von Webseiten zu verwenden. Entsprechend sind auch alle Apps, die Webinhalte unter iOS darstellen, inklusive Mozillas Firefox und Apples Safari, von der Lücke betroffen.

Der Angriff unter iOS ist besondes fatal, da er das komplette Gerät binnen Sekunden zum Absturz bringt. Die wenigen Zeilen CSS-Code, die dafür benötigt werden, finden sich auf Github. Auch Safari unter MacOS ist von der Lücke betroffen.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Neben Safari und Firefox sind auch Chrome, Chromium und ChromeOS von einem ähnlichen Angriff betroffen. Sabri Haddouche veröffentlichte auf Twitter eine einzeilige Javascript-Schleife, die den Browser kurz einfriert und dann abstürzen lässt. Auf diesen Angriff soll auch Microsofts Edge anspringen. Ob und wann die Lücken gefixt werden, ist noch nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  2. Südkorea: Ebay verkauft Landestochter für 3 Milliarden US-Dollar
    Südkorea
    Ebay verkauft Landestochter für 3 Milliarden US-Dollar

    Ebay trennt sich unter dem Druck von Investoren erneut von einem großen Konzernzeil.

  3. iPhone: Apple warnt offenbar Leaker aus China
    iPhone
    Apple warnt offenbar Leaker aus China

    Bevor Apple neue Geräte veröffentlicht, gibt es oft eine Reihe von Leaks aus chinesischen Produktionsanlagen. Leaker haben nun Post bekommen.

FreiGeistler 27. Sep 2018

Warum?

Iruwen 26. Sep 2018

Wenn ein abstürzender Browser das OS mitnimmt ist das das eigentliche Problem. Wie armselig.

_2xs 26. Sep 2018

Firefox stürzt sowieso nach ner Weile ab, die sie das Speicherhandling IMMER noch nicht...

voidyvoid 26. Sep 2018

Also mein mobiler Chrome (unter Android 8.1 Sicherheitsupdate vom 01.09.2018) crasht beim...

itse 25. Sep 2018

ps: ich chatte dort nicht ;)


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /