Mozilla w końcu obiecuje zająć się 12-letnią luką w Firefoksie

Maciej Olanicki, 07.04.2019 r.

Pod koniec zeszłego roku opisywaliśmy lukę w zabezpieczeniach Firefoksa, która umożliwia uruchomienie nieskończone pętli zapytań o dane logowania. Mowa zatem o klasycznym ataku Denial of Service i rzeczywiście nie byłoby w nim zapewne nic wyjątkowego, gdyby nie to, że Mozilla nie załatała tej podatności od 12 lat. Wygląda na to, że zmieni się to już w lipcu, wraz z premierą Firefoksa 68.

Błąd nr 377496, czyli 12-letnia podatność Firefoksa

Gwoli przypomnienia, błąd nr 377496 znajdował się w mechanizmie logowania do usług przez HTTP wykorzystującym do zbierania danych nowe okno. Dziś logowanie z reguły odbywa się bezpośrednio z poziomu strony, dane wprowadza się do osadzonych na stronach formularzy. Wciąż jednak zdarzają się usługi, a w przeszłości było ich znacznie więcej, które do logowania wykorzystywały natywne okno przeglądarki.

Zobacz też: Firefox podatny na atak DoS. Mozilla nie kiwnęła palcem przez 11 lat

Atak pod względem technicznym był względnie nieskomplikowany. Wystarczyło skierować użytkownika na stronę z dużą ilością np. obrazków lub pływających ramek, do których dostęp był ograniczany właśnie w sposób wymagający podania loginy i hasła w nowym oknie. Po rozpoczęciu wczytywania, setki kolejnych okien w końcu doprowadzały do blokady usług. Błąd nr 377496 został odnaleziony w Firefoksie 14 kwietnia 2007 roku.

Mozilla nie kiwnęła w jego sprawie palcem przez 12 lat, ale z podobnym problemem borykała się przecież także konkurencja. W odróżnieniu od Firefoksa, Chrome oraz Edge szybko się jednak uodporniły – Google wprowadziło blokadę wyświetlania więcej niż jednego żądania autoryzacji na kartę, Microsoft zastosował zaś opóźnienie, dzięki któremu irytujące komunikaty można pozamykać lub w ogóle zamknąć kartę.

Zobacz też: Mozilla powalczy ze spamem zapytań o zgody na powiadomienia push

Dziś wiemy już, że po 12 latach luka zostanie załatana także w Firefoksie. Konkretnie – w Firefoksie 68. Premiera stabilnej wersji planowana jest na 9 lipca. Mozilla zdecydował się rozprawić z nieskończoną pętlą okien w sposób podobny do Chrome’a – planowane jest również ograniczenie ilościowe, jednak Firefox pozwoli na wyświetlenie dwóch komunikat na kartę, nie jednego.

O ile w tym przypadku mamy do czynienia z podatnością, to biorąc pod uwagę ostatnie trendy, na myśl przychodzi pewien paradoks. Wśród twórców przeglądarek, a Mozilla zdaje się pod tym względem przodować, zapanował w ciągu ostatnich miesięcy nowy trend. Przeglądarki, zamiast coraz więcej wyświetlać, coraz więcej blokują.