Un ricercatore specializzato nella “mietitura” dei browser Web ha individuato un nuovo meccanismo di attacco contro Firefox, browser tecnologicamente avanzato che presta il fianco a un problema di affidabilità potenzialmente molto grave. Basta un listato JavaScript “malevolo” per mandare in crash browser e sistema operativo, sostiene Sabri Haddouche.
Haddouche è un ricercatore di Wire, e si è in pratica specializzato nella realizzazione di attacchi di tipo DoS (Denial-of-Service) contro i browser Web più popolari presso l’utenza di Internet. Firefox è l’ultimo arrivato nell’ambito del progetto Browser Reaper, un sito Web in grado di mandare in crash Chrome, Safari e ora anche il software di navigazione di Mozilla con la semplice pressione di un pulsante.
After #Mailsploit, releasing #BrowserReaper so you can kill your browser.
More information: https://t.co/9Ls3AKps72— Sabri (@pwnsdx) 23 settembre 2018
Il nuovo attacco “Reap Firefox” è progettato per interferire con le normali comunicazioni tra i processi di Firefox, spiega Haddouche, con il codice JavaScript che agisce generando un file contenente un nome estremamente lungo e chiedendo all’utente di scaricarlo ogni millisecondo; il risultato del processo è il blocco del browser, mentre il continuo torrente di richieste è in grado di consumare grandi quantitativi di RAM e occupare tutte le risorse computazionali della CPU. Alla fine, anche il sistema operativo potrebbe decidere di dare forfait andando in crash come il browser.
L’attacco Reap Firefox è stato testato ed è risultato funzionante contro le versioni più recenti di Firefox (stabile o Beta) per computer, dice il ricercatore, mentre non funziona nella variante mobile del browser. Gli sviluppatori Mozilla sono a conoscenza del problema e sono già al lavoro per una correzione: la soluzione migliore consisterebbe nell’impedire a un sito Web di scaricare più di un file alla volta come fa Chrome, dice ancora Haddouche. Per curiosi e sviluppatori interessati, infine, sul sito Browser Reaper vengono forniti i link al codice sorgente per i tre diversi attacchi contro Chrome, Safari e Firefox.