นักวิจัยชี้การโจมตีใหม่ที่ทำให้ Firefox Desktop ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงวิธีการโจมตี DoS ที่ทำให้ Firefox เวอร์ชัน Desktop ค้างได้เพียงแค่เหยื่อเข้าไปยังเพจที่ฝัง JavaScript ที่ผู้โจมตีทำไว้

แนวคิดของการโจมตีคือ Flood ช่องการสื่อสาร (IPC Channel) ระหว่างโปรเซสบราวเซอร์ Firefox และโปรเซสลูก (Child) ซึ่งจะทำให้โปรแกรมนั้นค้าง นักวิจัยกล่าวว่า “ผมสร้างไฟล์ที่มีชื่อยาวมากๆ และพร้อมให้ผู้ใช้ดาวน์โหลดทุก 1 มิลิวินาทีเพื่อ Flood ช่องการสื่อสารระหว่างโปรเซสหลักและลูก ดังนั้นบราวน์เซอร์จึงค้าง” โดยหลักการคือเมื่อผู้ใช้ไปเข้าเว็บที่มีการโจมตีแบบนี้ตัว Firefox จะกินทรัพยากรปริมาณมากและไร้การตอบสนองหรือหากใช้งานทรัพยากรเครื่องมากเกินก็อาจทำให้ OS ค้างไปเลย

นักวิจัยทดสอบพบว่าได้ผลกับ Firefox ในเวอร์ชัน Quantum, Beta และ Nightly ด้วย อย่างไรก็ตามการป้องกันนั้นนักวิจัยชี้ว่าตัว Firefox เองต้องมีการป้องกันไม่ให้เกิดการดาวน์โหลดไฟล์จำนวนมากเหมือนที่ Chrome ทำ ผู้สนใจสามารถไปลองทดสอบงานของนักวิจัยในโครงการที่ชื่อว่า Reaper Project นอกจากนี้ยังใจดีแจกโค้ดให้เข้าไปดูได้ด้วย (ตามรูปด้านบน)

ที่มา : https://www.bleepingcomputer.com/news/security/new-mozilla-firefox-attack-causes-desktop-version-to-crash/