Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken - mitsamt Absturz-Button.

Artikel veröffentlicht am , Moritz Tremmel
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden.
Firefox, Chrome und Safari können leicht zum Abstürzen gebracht werden. (Bild: Natã Figueiredo/unsplash)

Erst kürzlich hatte Sabri Haddouche mit Apples Browser Safari iPhones und iPads zum Abstürzen gebracht. Kurze Zeit später tauchte Ähnliches für Chrome auf. Jetzt trifft es Mozillas Firefox. Auch dieser kann mit wenigen Zeilen Javascript zum Absturz gebracht werden. Auf der Webseite Reaperbugs.com sammelt Haddouche die Schwachstellen - inklusive Quellcode und einem Button, der den Browser lahmlegt.

Der Sicherheitsforscher fand heraus, dass der Mozillas Browser abstürzt, wenn ein Script den Firefox-Nutzer jede Millisekunde dazu auffordert, eine Datei mit einem sehr langen Dateinamen herunterzuladen. Die Anfragen fluten den IPC Channel, der die Kommunikation zwischen dem Eltern- und dem Kindprozess vermittelt. Die Folge ist ein Einfrieren des Browsers bis hin zum Absturz. Im schlechtesten Fall verbraucht die Flut an Anfragen so viel Speicher, dass das Betriebssystem in Mitleidenschaft gezogen wird oder ebenfalls abstürzt.

Betroffen sind alle aktuellen Desktop-Versionen des Browsers, der mobile Firefox auf Android ist mit dem Script nicht angreifbar. Die iOS-Version ist von der bereits zuvor veröffentlichten CSS-Lücke in Apples Webkit-Implementierung betroffen. Apple zwingt alle Apps unter iOS, ihre hauseigene Webkit-Rendering-Engine für die Darstellung von Webseiten zu verwenden. Entsprechend sind auch alle Apps, die Webinhalte unter iOS darstellen, inklusive Mozillas Firefox und Apples Safari, von der Lücke betroffen.

Der Angriff unter iOS ist besondes fatal, da er das komplette Gerät binnen Sekunden zum Absturz bringt. Die wenigen Zeilen CSS-Code, die dafür benötigt werden, finden sich auf Github. Auch Safari unter MacOS ist von der Lücke betroffen.

Neben Safari und Firefox sind auch Chrome, Chromium und ChromeOS von einem ähnlichen Angriff betroffen. Sabri Haddouche veröffentlichte auf Twitter eine einzeilige Javascript-Schleife, die den Browser kurz einfriert und dann abstürzen lässt. Auf diesen Angriff soll auch Microsofts Edge anspringen. Ob und wann die Lücken gefixt werden, ist noch nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Webauthn
Passwortloses Einloggen mit schlechter Kryptographie
artikel-bild
iPhone und iPad
Einen Klick vom Absturz entfernt
artikel-bild
Apple
Erster Sicherheitspatch für MacOS High Sierra 10.13.4 kommt
Meistgelesen
artikel-bild
Treibstoffe
Die Suche nach dem E-Fuels-Phantom
artikel-bild
Schneller als SSDs
Eine RAM-Festplatte bricht Geschwindigkeitsrekorde
artikel-bild
Morris Chang
TSMC-Gründer erklärt Globalisierung im Chipsektor für tot
Kommentarübersicht
Re: Boah, welch fataler Bug!
FreiGeistler 27. Sep 2018

Warum?

Betriebssystem?
Iruwen 26. Sep 2018

Wenn ein abstürzender Browser das OS mitnimmt ist das das eigentliche Problem. Wie armselig.

Re: alles halb so schlimm
_2xs 26. Sep 2018

Firefox stürzt sowieso nach ner Weile ab, die sie das Speicherhandling IMMER noch nicht...

Re: Habs nochmal mit Chrome versucht
voidyvoid 26. Sep 2018

Also mein mobiler Chrome (unter Android 8.1 Sicherheitsupdate vom 01.09.2018) crasht beim...

Aktuell auf der Startseite von Golem.de
Gegen Netflix
Die ARD braucht nicht mehr Technik, sondern andere Inhalte!

Der ARD-Vorsitzende will hunderte Millionen für Streaming-Technik ausgeben - von Inhalten ist keine Rede. Dabei braucht es die, um neue Zielgruppen zu gewinnen.
Ein IMHO von Tobias Költzsch und Sebastian Grüner

Gegen Netflix: Die ARD braucht nicht mehr Technik, sondern andere Inhalte!
Artikel
  1. Schneller als SSDs: Eine RAM-Festplatte bricht Geschwindigkeitsrekorde
    Schneller als SSDs
    Eine RAM-Festplatte bricht Geschwindigkeitsrekorde

    Schneller als SSDs und unendlich oft beschreibbar: Das verspricht ein Speichermedium, das RAM-Chips nutzt, aber über NVMe angesprochen wird.

  2. SVB und Credit Suisse: Bitcoin profitiert weiter von der Bankenkrise
    SVB und Credit Suisse
    Bitcoin profitiert weiter von der Bankenkrise

    Nachdem Kryptowährungen selbst ein krisenreiches Jahr hinter sich haben, kehren die Anleger nun anscheinend zu Bitcoin und Ethereum zurück.

  3. Morris Chang: TSMC-Gründer erklärt Globalisierung im Chipsektor für tot
    Morris Chang
    TSMC-Gründer erklärt Globalisierung im Chipsektor für tot

    Der ehemalige CEO des Halbleiterproduzenten TSMC geht davon aus, dass die Preise dadurch steigen werden. Taiwan steht vor einem Dilemma.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Amazon Coupon-Party • MindStar: MSI RTX 4080 -100€ • Neue RAM-Tiefstpreise • Sandisk MicroSDXC 256GB -69% • Neue Wochendeals bei Media Markt • Bosch Professional-Rabatte • Otto Oster-Angebote • 38-GB-Allnet-Flat 12,99€/Monat • Meta Quest Pro 1.199€ • [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /