LINUX.ORG.RU

Выявлена уязвимость в Chrome, Firefox и Safari, связанная с favicon

 ,


0

3

При заходе на сайт браузер пытается скачать его иконку (favicon.ico). Проблема заключается в том, что многие браузеры, такие как Google Chrome, Firefox и Safari не проверяют размер файла, что позволяет злоумышленнику забить всю доступную память, вызвав серьезные зависания. Internet Explorer не подвержен уязвимости.

>>> Уязвимость в баг-трекере Chromium

>>> Уязвимость в баг-трекере Firefox

>>> Эксплойт

★★★★★

Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 3)
Ответ на: комментарий от Quickern

А вдруг дизайнер хочет иконку 33mx33m, а у человека всего 2гб памяти — это уязвимость?

да, генетическая, у дизайнера

upcFrost ★★★★★
()

Протестировал. Браузер крашнулся и всё. Ничего не повисло.

Psych218 ★★★★★
()
Ответ на: Internet Explorer — самый защищённый браузер от h578b1bde

А если серьёзно — я не понимаю как разработчики, запилившие столько версий хромога и жиролиса со всяким говном типа интеграции с соцсетями, чятиками и прочими звонилками, могли пропустить такое эпичное решето со сраными иконками сайтов, которые появились ещё в конце 90-х?

Да никому в голову не пришло так изгаляться.

Jayrome ★★★★★
()

Internet Explorer не подвержен уязвимости

СРОЧНО ПЕРЕКАТЫВАЮСЬ НА ЭКСПЛОРЕР

Aswed ★★★★★
()

А HTML-страница размером в 9 гигабайтов не выжрет всю память?

Legioner ★★★★★
()
Ответ на: комментарий от anonymous

Я прошла через 640 кб RAM. ...<br>

Ну хоть один нормальный человек. Здравствуй.

Stage1 ★★
()
Ответ на: комментарий от anonymous

DoS тебе о чем-нибудь говорит?

Говорит. Такой чорный экран и приглашение, где можно вводить: dir C:\, format C:\. :-)

anonymous
()

Половина отписавшихся не поняла всю глубину проблемы. Пишут, про какие-то теги, форматы.

Даже, если вебмастер blablabls.com не указал соответствующим тегом в коде страницы наличие фавикона, современные браузеры автоматически делают запрос на blablabla.com/favicon.ico в надежде на то, что фавикон там есть. Считается, что если файла всё же не окажется - ничего страшного от 1 лишнего запроса не произойдёт.

Никто до этого момента не задумывался, что можно гадить людям таким вот способом через фавикон. Поэтому, в браузерах нет проверки на то, какого размера иконка и иконка ли это вообще (иначе можно было бы сразу по первым байтам догадаться, что там какой-то хаотичный мусор вместо валидного ico).

anonymous
()
Ответ на: комментарий от Quickern

если бы так. во всех этих жопогрызах хромых тоже смысл был пока ими пользовались полтора человека.

anonymous
()
Ответ на: комментарий от dmitrmax

То есть в браузере есть какое-то внутреннее ограничение, которое выводит эту строчку, если изображение превышает какой-то размер?

Скорее всего, помню когда пользовался SeaMonkey — видел её довольно часто на изображениях в несколько десятков мегабайт.

h578b1bde ★☆
()

Я вот одного не понимаю в инструкции по запуску:

1. Install io.js (NodeJS works too)
2. Run: node exploit.js
3. Test your browser by visiting http://localhost:3000 (or if you have process.env.PORT set then that port)
А нафига нужен js, неужели nginx/apache/lighttpd/etc не способны сами отдать favicon?

Deleted
()
Последнее исправление: log4tmp (всего исправлений: 1)
Ответ на: комментарий от Deleted

А нафига нужен js, неужели nginx/apache/lighttpd/etc не способны сами отдать favicon?

Современные розроботчики признают только нодэ.джэйэс.

anonymous
()
Ответ на: комментарий от Jayrome

Да никому в голову не пришло так изгаляться.

Проверка всех входных данных и обрезание всего сверх лимита — первые два правила нормального программиста.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

У тебя браузер поломан, анон: www.linux.org.ru/favicon.ico

Ну так а что он такой маленький? Давайте уже гигабайтный фавикон!

PS. Он у всех поломан, согласно этому топику :-)

anonymous
()
Ответ на: комментарий от anonymous

современные браузеры автоматически делают запрос на blablabla.com/favicon.ico

А браузеры хипстеров тянут ещё и apple-touch-icon.png, и что-то мне подсказывает что там никаких проверок тоже нет.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Проверка всех входных данных и обрезание всего сверх лимита — первые два правила нормального программиста.

А нулевое правило — абстракции не должны течь.

anonymous
()
Ответ на: комментарий от anonymous

DoS тебе о чем-нибудь говорит? Прекрасное явление. Kernel panic!

Как страшно жыть в линупсе!

anonymous
()
Ответ на: комментарий от anonymous

что можно гадить людям

как гадить-то? ну упал бравзер, ну и что? данные от банк-клиента можно стырить?

anonymous
()

В чём. собственно, уязвимость? Давно можно создать создавать на js объекты, например canvas, и так отожрать всю память. Наверняка можно просто страничку мусором на терабайт заполнить, и она тоже выжрет всю память. Ну а тут favicon. В чём новость? Разница-то?

Psych218 ★★★★★
()
Ответ на: комментарий от Quickern

А вдруг дизайнер хочет иконку 33mx33m, а у человека всего 2гб памяти — это уязвимость?

Читал тред и вспоминал... Лет 15 назад разве не про favicon были упоминания в нескольких номерах Ксакепа на эту же тему - выбирать в качестве иконки объёмный файл? Чтобы из чистого озорства вешать браузер.

Stalin ★★★★★
()
Ответ на: комментарий от Stalin

Ну... Это примерно тоже самое, что писать программу, которая потихоньку выделяет память, чтобы отправлять систему в своп. Глупо же. Да и сколько человек такую программу скачает? По-моему абсолютная аналогия с браузером. В чем уязвимость, в чем баг — мне не ясно. Иначе, давайте и в операционке запретим программы выделяющие «слишком много оперативки». Что уж там.

Quickern ★★
()

этими браузерами ещё кто-то пользуется?

anonymous
()
Ответ на: комментарий от Quickern

давайте и в операционке запретим программы выделяющие «слишком много оперативки»

Давайте, и ещё принудительно ставить операционки с этой фичей на компы быдлокодеров без возможности её отключения дабы ось сразу била по наглой рыжей морде.

// Вспоминается история как какой-то кедераст побежал в магазин за памятью, поскольку не смог пошпилить в игори из-за выжравших всю память непомуков и аконади.

h578b1bde ★☆
()

Internet Explorer не подвержен уязвимости.

Все, срочно перехожу на Internet Explorer. Где качать ебилды?

anonymous
()

Старая фишка, упыри нормальным пацанам чатики давно вешают этим фаршем, ограничивай размер пикчей и живи счастливо называтся!1

anonymous
()
Ответ на: комментарий от German_1984

Я как-то сгенерировал html на 200Mb - таблица на 100 000 строк и 50 столбцов. Ни один браузер не смог открыть - выжрали всю оперативку и падали. Это тоже уязвимость?

Почти аналогичная ситуация, всего-то текстовый файл на 151Мб. Не сам браузер не падал, но тормоза были невозможные. Пробовал на разных браузерах, везде одно и тоже было. Не уязвимость конечно, но баг однозначно, при учете, что обычный текстовый редактор открывает влет и спокойно работает.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Да, но на цепепе написать говнокод проще простого.

Вы путаете понятия, на ц/цпп проще «выстрелить себе в ногу», а говнокод это ко всяким php c# java &etc.

anc ★★★★★
()
Ответ на: комментарий от Iron_Bug

я же говорю, проблема не в цепепе, а в тех, кто его использует.

Я бы поправил, «…а в том как его используют». Одним и тем же молотком, одни и те же гвозди можно по разному забить.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Говорит. Такой чорный экран и приглашение, где можно вводить: dir C:\, format C:\. :-)

У вас похоже чего-то со шрифтами не то, регистр у букавак не различается :)
ЗЫ Да и со знаем предметной области похоже тоже, даже одну команду правильно набрать не можете.

anc ★★★★★
()
Ответ на: комментарий от Quickern

Иначе, давайте и в операционке запретим программы выделяющие «слишком много оперативки».

Давно пора, глядишь хоть тогда java сдохнет.

anc ★★★★★
()
Ответ на: комментарий от anc

да в школе уже давно это не проходят, видать.

anonymous
()
Ответ на: комментарий от FriendlyFox

В реальности происходит примерно так: сначала начинается сваппинг, чем дальше тем хуже, система начинает жутко тормозить, так может продолжаться минут 30-60+. В какой-то момент может инвокнуться оом-киллер, но он норовит убить «неважные» процессы вроде sshd, bash, getty, login и прочие подобные. В какой-то момент система приходит в полностью нерабочее состояние - реакция на нажатие клавиши клавиатуры занимает по 1-2 минуты, простые команды отрабатывают очень медленно т.к. система в свапе, свап на диске, диск тормозит, прочитать библиотеки и бинарники с диска занимает вечность. Семь бед - один резет.

Точно так же бывает и на серверах, когда какой-то процесс выжирает память, но оом-киллер его не трогает, т.к. это ж «активный» процесс. Тоже резет спасает.

prizident ★★★★★
()

Уязвимость из разряда белых гифок 1х1000 во времена момедов.

dogbert ★★★★★
()
Ответ на: комментарий от anc

нуу, можно, конечно, пытаться дрессировать программистов. но мой опыт показывает, что это малоэффективно. есть люди, которые сразу понимают суть программирования, а есть те, кого можно сто раз ткнуть носом в ошибки, но они не отражают и продолжают упорно наступать на те же грабли. я даже подрабатывала когда-то репетитором по математике и программированию и это меня ещё раз убедило в том, что некоторые люди в принципе не способны к логическому мышлению. и никакими силами их невозможно научить. бывает мышление сродни базе данных: человек запоминает кучу фактов и при решении задачи выбирает подходящие варианты из уже известных. это типичные гуманитарии. они не способны сгенерировать новое решение, если оно им заранее не известно. и когда такой человек случайно попадает в программирование, он плодит копипаст и говнокод, при этом регулярно создавая баги, которые потом за ним надо вычищать. лучше не пытаться научить его программировать, а отправить сразу в менеджеры.

Iron_Bug ★★★★★
()

В фильтр эдблока добавляйте!

Tactile ★★
()
Ответ на: комментарий от Iron_Bug

По сути согласен с Вами полностью. Но я указал на не очень корректную формулировку. Звучит так как будто все кто использует цпп «неправильные люди» :)
А так да, людей которые способны мыслить только шаблонами в программировании, надо гнать подальше.

anc ★★★★★
()
Ответ на: комментарий от anc

Внезапно, почти вся разработка это шаблоны. Надо только пользоваться правильными в каждом кокретном случае, а неправильными не пользоваться. А вот таких художников гнать ссаными тряпками.

anonymous
()
Ответ на: комментарий от anc

людей которые способны мыслить только шаблонами в программировании

Почему-то вспомнилось про ООП паттерны... Ты знал? Ты знал! ))

deep-purple ★★★★★
()
Ответ на: комментарий от anonymous

Не! Без художников ничо двигаться не будет. Таких художников просто не надо допускать к деплою/продакшну. Так то пусть велосипедят.

deep-purple ★★★★★
()
Ответ на: комментарий от deep-purple

Кстати, интересный факт, в коллективе меня считают одаренным разработчиком с оригинальными решениями сложных проблем. А на самом деле пятнадцатилетний опыт позволяет вообще не думать — шаблоны во все поля.

anonymous
()
Ответ на: комментарий от anonymous

есть такое. когда есть опыт в какой-то области, решение видно практически сразу. и даже в непонятных ситуациях метод инженерного тыка на уровне интуиции чаще всего срабатывает. потому что интуиция - продукт опыта.
паттерны всё равно знать надо. не потому, что это круто. а потому что это всё равно придёт, рано или поздно. каждый сам свои паттерны нарабатывает и применяет.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

паттерны всё равно знать надо

Конечно, если по недомыслию использовать цепепе там, где многим лучше было бы использование более адекватного инструмента, то паттерны, те что от четырёх, знать надо, куда ж деваться беднягам. Надо, так надо... А вообще, паттерны надо знать разве что на лорах лясы чесать, или понимать о чём говорит цепепешник, имея в виду «посетитель» или «фасад». Более полезно знать хороший инструмент для генерации своих высокоабстрактных языков для решения задач. Ну и математику ещё. А паттерны - это из-за ущербности цепепе, ну и жавы. :-)

anonymous
()

Говно, а не «уязвимость». Так можно любой файл послать в 1ТБ. И че это за атака такая? Сервер атакует клиентов?

facelift
()

Интересно, если сервер браузеру 10-гиговую страничку отдаст, эффект будет тот же?

anonymous
()
Ответ на: комментарий от anonymous

Интересно, если сервер браузеру 10-гиговую страничку отдаст, эффект будет тот же?

Попробуй. 5 минут делов и ты в теме.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.