Über ein einfaches Script konnte Sicherheitsforscher Sabri Haddouche nicht nur den Mozilla-Browser Firefox, sondern unter Umständen sogar das gesamte System kommentarlos abstürzen zu lassen.
Betroffen sind die Versionen Firefox 62.0.2 und früher für Windows, macOS und Linux, aber nicht die Mobilversion für Googles Android. Unter macOS und Linux führt der Besuch einer mit dem auslösenden Script gestalteten Website dazu, dass der Browserprozess beendet wird und Firefox dann den Dialog von Mozillas Crash Reporter einblendet.
Unter Windows kann das ganze BS einfrieren
Schlimmer kann das unter Windows-Betriebssystemen ablaufen. Die Folgen unter Umständen deutlich gravierender. In einigen Fällen soll dieser Bug das komplette Betriebssystem einfrieren können, so dass nur noch ein Reset und im allerschlimmsten Fall das Herausziehen des Steckers aus der Steckdose als letzte Option gestatten, einen Neustart des betroffenen Rechners auszulösen.
Der Fehler kann mit dem jüngsten stabilen Release von Firefox und auch mit den Developer- und Nightly-Builds ausgelöst werden.
Mobilversionen für Android und iOS sind nicht betroffen
Firefox für Android stürzte bei entsprechenden Tests nicht ab. Auch die iOS-Version des Feuerfuchses ist von dem Problem nicht betroffen, denn der Browser benutzt auf iPhones und iPads von Apple nicht seine eigene Rendering-Engine, in der der Fehler steckt.
Das Script löst das Problem dadurch aus, dass es eine Datei mit einem sehr langen Dateinamen erzeugt und diese dann dem Nutzer einmal pro Millisekunde erneut zum Download anbietet, erklärt Sicherheitsforscher Haddouche den Bug.
Den Code einer HTML-Seite, die das schädliche Skript enthält, finden Sie auf GitHub.