The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Связанная с favicon уязвимость в Chrome и Firefox

15.06.2015 21:16

В Chrome и Firefox выявлена недоработка, которая может привести к инициированию временного отказа в обслуживании и краха через потребление всей доступной процессу памяти. Суть проблемы в том, что браузеры автоматически загружают при обращении к сайту файл favicon.ico, содержащий пиктограмму сайта, но не учитывают его размер. Для слишком больших favicon.ico браузер пытается загрузить файл до того как израсходует всю доступную память.



  1. Главная ссылка к новости (https://github.com/benjamingr/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42435-chorme
Ключевые слова: chorme, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:25, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Вон оно что. Теперь понятно, почему наглая рыжая морда всю память отжирает.
    Криворукие вебмастера слишком большие фавиконы делают.
     
     
  • 2.3, bsod (??), 21:28, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +23 +/
    фавикон размером в 9 Гб
     
     
  • 3.9, Аноним (-), 22:23, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +18 +/
    це виндовая концепция: жмёшь иконку - из неё весь ведьмак загружается.
     
  • 3.15, Аноним (-), 23:39, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    use 32 bit luke
     
     
  • 4.55, Аноним (-), 03:43, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, браузер тогда выпадет после первых 2 или 3 Гб данных - экономия на траффике очевидна! :)
     

  • 1.2, Аноним (-), 21:26, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    В IE и Safari нет? Хорошо.
     
     
  • 2.4, Stax (ok), 21:38, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А по ссылке сходить религия запрещает??

    > As people have pointed Firefox does this too. Safari is also affected and will make the computer unresponsive and then crash (on my OSX 10.10).

     

  • 1.5, Аноним (-), 21:56, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А обычная картинка как ограничена?
     
     
  • 2.33, Какаянахренразница (ok), 08:31, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > А обычная картинка как ограничена?

    Никак. Но крэшить браузер обычной картинкой это дедовский способ, за него вознаграждение не выплатят. А вот крэшить иконкой это стильно, модно и молодёжно. Ну и выгодно.

     
  • 2.45, i_stas (ok), 14:33, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    реез таймаут вестима
     

  • 1.6, АнонимныйПотребительСпаржы (?), 22:04, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Win7 + Chrome = freeze & crash
     
     
  • 2.7, Аноним (-), 22:13, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А как проверить на Вин 8.1 + Хром?
     
     
  • 3.19, Аноним (-), 00:26, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Забанен в гугле?
    https://ru.wikipedia.org/wiki/Favicon
     

  • 1.8, Аноним (-), 22:17, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А, там нужно самому инсталить эксплойт, потом самому его запускать.. накуй - тупо, нудно, не нужно.
     
     
  • 2.10, Аноним (-), 23:17, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так не инсталли. Суть в том, что браузеры пытаются выжрать фавикон сайта в 9гб.
     
     
  • 3.17, bav (ok), 23:47, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Суть в том, что браузеры пытаются выжрать фавикон сайта в 9гб.

    Суть в том что драма высосана из пальца. Если на каком-то ресурсе падает браузер, ты больше туда не пойдешь (если не дятел, конечно).

     
     
  • 4.21, Stax (ok), 01:04, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда взломают opennet и подсунут сюда такой favicon, вы, конечно же, тут же перестанете сюда ходить. Вы же не дятел?
     
  • 4.22, Crazy Alex (ok), 01:04, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то намёк верный - сайт должен иметь какие-то ограничения по памяти/процессору, и если хочет большего - должен быть явный запрос пользователю.
     
     
  • 5.30, X86 (ok), 06:16, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Увольте. Проще сделать ограничение размера favicon в 10 мегабайт. 10 мегабайт точно хватит всем. Если favicon больше 10 мегабайт - пусть не загружается.
     
     
  • 6.35, Аноним (-), 08:34, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот из-за таких как вы у нас такие интернеты отсталые.

    Вот вы сейчас введете ограничение в 10mb, а через 10 лет вас все будут ненавидеть и писать костыли.

    Чем favicon отличается от картинки на сайте? Почему картинки можно загружать очень большие, а favicon нельзя?

     
     
  • 7.37, vitektm (?), 08:45, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Может потому что за 20 лет размер реальных favicon не вырос ни на байт ?
    У favicon есть суть. лейбл\превью 10мб это дофига для качественной фото.
    на 10кб можно лечовеческое лицо определить.

    Имхо из-за таких как вы у нас медленные интернеты???  А что хочу и выкладываю по 2мб картинки я создатель (порой даже не являющийся владельцем\заказчиком) что-хочу  то и делаю. А заказчик как правила "лопух". я еще и сделаю так чтоб даже банер в 2мб  у пользователя грузилка каждый раз заново.

    "почувствуй нашу любовь"

     
     
  • 8.43, Аноним (-), 11:32, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот как не вырос когда появились favicon icon apng, например Или костыли для... текст свёрнут, показать
     
     
  • 9.46, Mihail Zenkov (ok), 14:58, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    По тому, что уже сайт может съесть 2MB, а полезной информации на нем на 2KB Зач... текст свёрнут, показать
     
  • 9.49, Аноним (-), 16:01, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем греть воздух ... текст свёрнут, показать
     
  • 9.54, Sinot (ok), 01:26, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы случаем не из тех самых, что считают оперативную память дешевой и что эконо... текст свёрнут, показать
     
  • 5.32, Аноним (-), 07:58, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А есть такое расширение для firefox и chrome?
     
  • 4.56, Аноним (-), 03:45, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Суть в том что драма высосана из пальца. Если на каком-то ресурсе
    > падает браузер, ты больше туда не пойдешь (если не дятел, конечно).

    Если у тебя не 10Гбит эзернет, а сервак обслуживает поболее народа чем одного тебя, ты заметишь проблемы "немного" опосля. И тебе будет довольно сложно понять какой именно сайт в этом виноват.

     

  • 1.11, Дим (?), 23:24, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А в чем прикол то? Если страница слишком долго грузится, можно же просто нажать крестик? И чем тогда это фавикон отличается от любой другой картинки на странице, которую тоже можно сделать размером в надцать гигобайт?
     
     
  • 2.20, Kamiram (?), 00:54, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну тут конечно немного зауши 9 гигов.
    но делаем чтото умеренно разумное. метров 500.
    притом на разных сраницах разные ещё.
    а он же их показывает в избранном, истории и прочем. вполне может начать дико тормозить просто при открытии броузера.
     
  • 2.25, soarin (ok), 04:49, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда нет, например, линуксовые ОСи вообще плохо ведут себя при "экстремальном" потреблении ОЗУ, что только ресет на системнике остаётся.
     
     
  • 3.26, Аноним (-), 05:35, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?
     
     
  • 4.29, б.б. (?), 06:09, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?

    это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq давить. А вот в OpenBSD, если ему вдруг становится "много", он просто убивает браузер по OOM через несколько секунд, и можно жить дальше :)

     
     
  • 5.34, Какаянахренразница (ok), 08:34, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >> Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?
    > это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian
    > (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно
    > начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать
    > нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq
    > давить.

    Отключи своп -- и твой Дебиан будет умирать легко и безболезненно.


     
     
  • 6.42, Anonymous4245345 (?), 11:30, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так он и пишет, что у него отключен
     
     
  • 7.44, Какаянахренразница (ok), 13:53, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > так он и пишет, что у него отключен

    Я подумал, что он имеет в виду "1.5 гигабайта, не считая свопа".

     
  • 5.50, Аноним (-), 16:08, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?
    > это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian
    > (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно
    > начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать
    > нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq
    > давить. А вот в OpenBSD, если ему вдруг становится "много", он
    > просто убивает браузер по OOM через несколько секунд, и можно жить
    > дальше :)

    а подумать про особенности killer-а и почему он без swop-a не совсем ожидаемо работает?
    Не уверен в том что это не поправили, но раньше была проблема ( причём она не связана с багами или ошибками, просто такой алгоритм ).

     
  • 5.53, Аноним (-), 22:38, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq давить. А вот в OpenBSD, если ему вдруг становится "много", он просто убивает браузер по OOM через несколько секунд, и можно жить дальше :)

    То что вы пишете бывает когда swap включен. Без свопа убивается процесс мгновенно. У меня тоже Debian.

     
  • 3.28, б.б. (?), 06:06, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    SysRq на клавиатуре нет?
     
     
  • 4.51, soarin (ok), 17:11, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    нет
     

  • 1.12, Дим (?), 23:25, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да и у кого найдется насколько быстрый нэт, что он эти надацать гигабайт успеет выкачать до того, как он покинет страницу.
     
  • 1.13, bav (ok), 23:31, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Следующие недоработки и отказ в обслуживании будут найдены в js/css файлах. Авторы истиные британцы.
     
     
  • 2.14, Дим (?), 23:32, 15/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    По сути по такой схеме можно браузер нагрузить любым контентом, где не заданы ограничения по записи в оперативку.
     
     
  • 3.39, анвоар (?), 09:30, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Предсказываю, что после этой новости пройдёт небольшой вал таких атак и исследований.
     

  • 1.16, KOT040188 (?), 23:47, 15/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я ж эти 9гб два дня качать буду…
     
  • 1.18, анон (?), 00:17, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обидно будет такую страницу открыть с мобилки где  траф  по 8 руб за мег.


    Интересно Squid  при дефолтных настройках  проблемы с такими иконками будет иметь ?

     
     
  • 2.31, X86 (ok), 06:19, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Обидно будет такую страницу открыть с мобилки где  траф  по
    > 8 руб за мег.

    Если открыл страницу, а она еще грузится, жми стоп)

     
     
  • 3.48, Mihail Zenkov (ok), 15:08, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Точно не уверен, но похоже не поможет.

    Я иногда вижу подозрительную сетевую активность - tcpdump показывает что firefox не может поверить, что у сайта нет favicon и получив 404 шлет все новые и новые запросы ...

    При этом браузер находится в простое и все сайты давно уже загружены. Хуже всего что такое поведение рандомное - может появится, может нет.

     
  • 3.59, Аноним (-), 03:42, 18/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Загрузку фавикона не видно. Выглядит будто его нет просто. И эскейп загрузку не остановит. Более того, у меня лиса продолжает качать даже после закрытия сайта.
     
  • 3.60, qqq (??), 13:24, 19/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    browser.chrome.favicons
    browser.chrome.site_icons
     

  • 1.23, Kodir (ok), 01:06, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    жОперасты походу на чём сидели, тем и думали - ABP даже не ловит по фильтру "favicon" - они тупо грузят иконку напрямую! Капец погромисты...
     
  • 1.36, none7 (ok), 08:38, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И чем это отличается от обычной gzip бомбы, превращающей 1Мб в 1Гб? Тоже в общем то никто не фиксил.
     
  • 1.38, Fracta1L (ok), 08:57, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Предлагаю сделать проще: перенести всё содержимое сайта в favicon, а табы в браузерах сделать на весь экран.
     
     
  • 2.47, Mihail Zenkov (ok), 15:03, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Предлагаю сделать проще: перенести всё содержимое сайта в favicon, а табы в
    > браузерах сделать на весь экран.

    И что-то мне подсказывает, что грузится такой сайт будет быстрее, чем современный веб со 100500 редиректами на сторонние сайты :(

     

  • 1.40, Аноним (-), 09:55, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    PoC http://badfavicon.cf/ в хроме, например, никак не отображается, что favicon все еще грузится.
     
  • 1.41, IvAnZ (?), 11:17, 16/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Симлинк из /dev/urandom в favicon.ico
     
     
  • 2.52, Аноним (-), 18:56, 16/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Симлинк из /dev/urandom в favicon.ico

    /dev/zero + сжатие

     
  • 2.57, Аноним (-), 03:47, 17/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Симлинк из /dev/urandom в favicon.ico

    Добрая душа :)

     

  • 1.58, None (??), 13:48, 17/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Там таких уязвимостей весь браузер, ограничений по RAM и CPU для отдельно взятой страницы не предусмотрено, ситуации отвала браузера происходят постоянно, пять фоток с зеркалки в альбом на имгуре залей, вот и кончился файрфокс.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру