Jak zawiesić Firefoksa 1.0.4 i nie tylko
Jeden z użytkowników listy dyskusyjnej BugTrack donosi, że znalazł błąd w przeglądarce Firefox wymuszający jej zamknięcie. Wystarczy umieścić specjalnie spreparowany kod html na stronie WWW w sekcji "body", by przeglądarka zakończyła swoje działanie. Co ciekawe, błąd zgłaszany był już pół roku temu.
reklama
Błędny kod powodujący zamknięcie przeglądarki:
<iframe id="pocframe" name="pocframe" src="about:blank"</iframe><script type="text/javascript">window.frames.pocframe.print();</script>
Działanie kodu polega na prostym wywołaniu ramki iframe przez JavaScript. Bug dotyczy nie tylko Firefox 1.0.3 ale i wszystkich poprzedzających je wersje oraz innych programów bazujących na silniku Gecko.
Przed chwilą sprawdziliśmy również działanie kodu na najnowszej, roboczej wersji przeglądarki Firefox oznaczonej symbolem 1.0.4 (RC), o której udostępnieniu poinformowano dziś w nocy na stronach MmozillaZine.org. Niestety, podczas próby otwarcia strony Proof of Concept - czyli udowadniającej istnienie błędu - przeglądarka się zawiesiła.
Warto przy okazji zauważyć, że udostępniona do testów wersja 1.0.4 jest błyskawiczną odpowiedzią Mozilla Foundation na, odkryte kilka dni temu, dwa krytyczne błędy w Firefox umożliwiające przejęcie kontroli nad systemem użytkownika.
Tymczasem, opisywana luka nie jest zapewne krytyczna, ale zależnie od tego jak zostanie wykorzystana przez potencjalnego "dowcipnisia" może okazać się uciążliwa dla jego ofiary.
Co ciekawe i w sumie istotne, problem był zgłaszany już pół roku temu w Bugzilli (#272381), ale ekipa Mozilli nie zareagowała, o czym można przeczytać w Bugtracku - np. na stronie "odkrywcy".
[Aktualizacja - 10:45]
Jak słusznie zauważył Ludwik w komentarzach, ekipa Mozilli zaeragowała na doniesienie o bugu. Ponieważ błąd nie stanowi zagrożenia dla bezpieczeństwa, jego naprawa nie została uwzględniona w kolejnych poprawkach do Firefoksa. Bug powinien być już wyeliminowany w nadchodzącej wielkimi krokami wersji 1.1 tej przeglądarki.