TeamQuest Blog

Mozilla w końcu obiecuje zająć się 12-letnią luką w Firefoksie

Mozilla w końcu obiecuje zająć się 12-letnią luką w Firefoksie

Maciej Olanicki , 07.04.2019 r.

Pod koniec zeszłego roku opisywaliśmy lukę w zabezpieczeniach Firefoksa, która umożliwia uruchomienie nieskończone pętli zapytań o dane logowania. Mowa zatem o klasycznym ataku Denial of Service i rzeczywiście nie byłoby w nim zapewne nic wyjątkowego, gdyby nie to, że Mozilla nie załatała tej podatności od 12 lat. Wygląda na to, że zmieni się to już w lipcu, wraz z premierą Firefoksa 68.

Błąd nr 377496, czyli 12-letnia podatność Firefoksa

firefox

Gwoli przypomnienia, błąd nr 377496 znajdował się w mechanizmie logowania do usług przez HTTP wykorzystującym do zbierania danych nowe okno. Dziś logowanie z reguły odbywa się bezpośrednio z poziomu strony, dane wprowadza się do osadzonych na stronach formularzy. Wciąż jednak zdarzają się usługi, a w przeszłości było ich znacznie więcej, które do logowania wykorzystywały natywne okno przeglądarki.

Zobacz też: Firefox podatny na atak DoS. Mozilla nie kiwnęła palcem przez 11 lat

Atak pod względem technicznym był względnie nieskomplikowany. Wystarczyło skierować użytkownika na stronę z dużą ilością np. obrazków lub pływających ramek, do których dostęp był ograniczany właśnie w sposób wymagający podania loginy i hasła w nowym oknie. Po rozpoczęciu wczytywania, setki kolejnych okien w końcu doprowadzały do blokady usług. Błąd nr 377496 został odnaleziony w Firefoksie 14 kwietnia 2007 roku.

firefox-blad-logowanie

Mozilla nie kiwnęła w jego sprawie palcem przez 12 lat, ale z podobnym problemem borykała się przecież także konkurencja. W odróżnieniu od Firefoksa, Chrome oraz Edge szybko się jednak uodporniły – Google wprowadziło blokadę wyświetlania więcej niż jednego żądania autoryzacji na kartę, Microsoft zastosował zaś opóźnienie, dzięki któremu irytujące komunikaty można pozamykać lub w ogóle zamknąć kartę.

Zobacz też: Mozilla powalczy ze spamem zapytań o zgody na powiadomienia push

Dziś wiemy już, że po 12 latach luka zostanie załatana także w Firefoksie. Konkretnie – w Firefoksie 68. Premiera stabilnej wersji planowana jest na 9 lipca. Mozilla zdecydował się rozprawić z nieskończoną pętlą okien w sposób podobny do Chrome’a – planowane jest również ograniczenie ilościowe, jednak Firefox pozwoli na wyświetlenie dwóch komunikat na kartę, nie jednego.

O ile w tym przypadku mamy do czynienia z podatnością, to biorąc pod uwagę ostatnie trendy, na myśl przychodzi pewien paradoks. Wśród twórców przeglądarek, a Mozilla zdaje się pod tym względem przodować, zapanował w ciągu ostatnich miesięcy nowy trend. Przeglądarki, zamiast coraz więcej wyświetlać, coraz więcej blokują.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej