A Mozilla válasza a múltheti Firefox DoS bejelentésre

A múlt héten ütötte fel fejét az a hír, miszerint a Mozilla Firefox frissen kiadott 1.5-ös verziója olyan hibát rejt, amelyet kihasználva a böngésző DoS-olható, és a bemutatott proof-of-concept exploit minimális módosításával akár kódfuttatásra is lehetőség nyílhat.

Ezzel szemben nézzük mi az igazság. A Mozilla alapítvány megvizsgálta a dolgot, majd kiadott egy állásfoglalást.Abban az olvasható, hogy az extrém hosszú title sorral bíró weboldalak (a proof-of-concept exploit 2.5 millió karaktert tartalmazott) azt idézhetik elő a Mozilla Firefox és Mozilla Suite böngészőknél, hogy úgy viselkednek, mintha lefagynának az indításkor, mikoris beolvassák a history adatot. Igazából a böngészők folytatják a normális működésüket, de ekkora adatnál egy lassabb számítógépen ez percekig is eltarthat. Egészen addig indulnak ilyen lassan a böngészők, amíg a history file-ból el nem távolítják a hosszú bejegyzést, vagy amíg az el nem avul.

A Mozilla megvizsgálta a hibát és megalapozatlannak találta azt az állítást, miszerint a DoS eme fajtája kihasználható program-összeomlást idézhetne elő. Erre nézve semmilyen bizonyíték nem áll rendelkezésre. Az alapítvány szerint ez a hiba semmilyen rizikót nem hordoz a felhasználók számára, eltekintve a lassú indulástól.

A bejelentésben a Mozilla közli, hogy hogyan kell probléma esetén eljárni.

A hibát eredetileg úgy jelentették, mint puffer túlcsorulás. A Secunia közelebb állt az igazsághoz, ott nem kritikus gyengeségként jellemezték a hibát.