DoS эксплойт Chrome и некоторых других браузеров

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

D.Evenjo

Участник

D.Evenjo

Участник
9 Сен 2015
396
136
Сегодня
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
похожий эксплойт для браузера Chrome и некоторых браузеров на его движке, который приводит к падению браузеров целиком или только отдельной страницы.

Описание доступно на баг-трекере:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

В чем суть:
Если браузер увидит ссылку вида:
Код:
http://h abra habr.ru /%%30 %30 - Убрать пробелы.
Пример из 16-ти символов:
Код:
ht tp:// a/%% 30% 30 - Убрать пробелы.
(то есть в конце адреса любого сайта дописать "%%30%30")
то вот что происходит:

Chrome
При вставке ссылки в адресную строку и нажатии Enter — браузер падает полностью.

А если где-то на странице встречается такая ссылка, то при наведении мыши на неё падает эта страница браузера

Opera
Также при наведении мыши падает

IE
Сообщение об ошибке, но браузер не падает.

Firefox
Ошибок от браузера нет, не падает. (Версия браузера: 40.0.2)

Steam
Если такую ссылку вставить в ленту активности, то клиент «подвисает» на этой странице. То есть вы можете, например, открыть библиотеку игр, играть, общаться с друзьями, но перейти в магазин или свой профиль не сможете. В браузере стима останется открытой лента активности. Помогает перезапуск клиента. Удалить ссылку после тестирования из ленты можно с помощью Firefox.

UPD:
На многих форумах есть bb-код для вставки картинок. Так вот, если на каком-то форуме в сообщении вставить «картинку» вида:
Код:
[im g] http://habrahabr.ru/% %30 %30 [/im g]
- Убрать пробелы!

то при переходе на страницу форума с такой картинкой браузеры будут падать. Причем падают все вкладки с данным сайтом. Т.е. если например в теме site.com/forum/1254 запостили картинку, то когда вы откроете эту страницу в новой вкладке со страницыsite.com/forum/ то упадут обе вкладки сразу. Если открывать в новом окне, то упадет только новое окно.
На форумах на движке «IP.Board» не работает, т.к. нельзя вставить такой bb-код: «Запрещено использовать на форуме такое расширение для изображений». Можно попробовать использовать другой код, например вместо — [youtube].
Уязвимости подвержены также мобильные версии браузера.
 
Последнее редактирование модератором:

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя