Breaking News

นักวิจัยชี้การโจมตีใหม่ที่ทำให้ Firefox Desktop ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงวิธีการโจมตี DoS ที่ทำให้ Firefox เวอร์ชัน Desktop ค้างได้เพียงแค่เหยื่อเข้าไปยังเพจที่ฝัง JavaScript ที่ผู้โจมตีทำไว้

Reaper Project

แนวคิดของการโจมตีคือ Flood ช่องการสื่อสาร (IPC Channel) ระหว่างโปรเซสบราวเซอร์ Firefox และโปรเซสลูก (Child) ซึ่งจะทำให้โปรแกรมนั้นค้าง นักวิจัยกล่าวว่า “ผมสร้างไฟล์ที่มีชื่อยาวมากๆ และพร้อมให้ผู้ใช้ดาวน์โหลดทุก 1 มิลิวินาทีเพื่อ Flood ช่องการสื่อสารระหว่างโปรเซสหลักและลูก ดังนั้นบราวน์เซอร์จึงค้าง” โดยหลักการคือเมื่อผู้ใช้ไปเข้าเว็บที่มีการโจมตีแบบนี้ตัว Firefox จะกินทรัพยากรปริมาณมากและไร้การตอบสนองหรือหากใช้งานทรัพยากรเครื่องมากเกินก็อาจทำให้ OS ค้างไปเลย

นักวิจัยทดสอบพบว่าได้ผลกับ Firefox ในเวอร์ชัน Quantum, Beta และ Nightly ด้วย อย่างไรก็ตามการป้องกันนั้นนักวิจัยชี้ว่าตัว Firefox เองต้องมีการป้องกันไม่ให้เกิดการดาวน์โหลดไฟล์จำนวนมากเหมือนที่ Chrome ทำ ผู้สนใจสามารถไปลองทดสอบงานของนักวิจัยในโครงการที่ชื่อว่า Reaper Project นอกจากนี้ยังใจดีแจกโค้ดให้เข้าไปดูได้ด้วย (ตามรูปด้านบน)

ที่มา : https://www.bleepingcomputer.com/news/security/new-mozilla-firefox-attack-causes-desktop-version-to-crash/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ …

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …