URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 103102
[ Назад ]

Исходное сообщение
"Связанная с favicon уязвимость в Chrome и Firefox"

Отправлено opennews , 15-Июн-15 21:25 
В Chrome и Firefox выявлена (https://github.com/benjamingr/favicon-bug) недоработка, которая может привести к инициированию временного отказа в обслуживании и краха через потребление всей доступной процессу памяти. Суть проблемы в том, что браузеры автоматически загружают при обращении к сайту файл favicon.ico (https://ru.wikipedia.org/wiki/Favicon), содержащий пиктограмму сайта, но не учитывают его размер. Для слишком больших favicon.ico браузер пытается загрузить файл до того как израсходует всю доступную память.

<center><img src="http://www.opennet.me/opennews/pics_base/0_1434392158.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>

URL: https://github.com/benjamingr/favicon-bug
Новость: http://www.opennet.me/opennews/art.shtml?num=42435


Содержание

Сообщения в этом обсуждении
"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 21:25 
Вон оно что. Теперь понятно, почему наглая рыжая морда всю память отжирает.
Криворукие вебмастера слишком большие фавиконы делают.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено bsod , 15-Июн-15 21:28 
фавикон размером в 9 Гб

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 22:23 
це виндовая концепция: жмёшь иконку - из неё весь ведьмак загружается.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 23:39 
use 32 bit luke

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 17-Июн-15 03:43 
Действительно, браузер тогда выпадет после первых 2 или 3 Гб данных - экономия на траффике очевидна! :)

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 21:26 
В IE и Safari нет? Хорошо.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Stax , 15-Июн-15 21:38 
А по ссылке сходить религия запрещает??

> As people have pointed Firefox does this too. Safari is also affected and will make the computer unresponsive and then crash (on my OSX 10.10).


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 21:56 
А обычная картинка как ограничена?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Какаянахренразница , 16-Июн-15 08:31 
> А обычная картинка как ограничена?

Никак. Но крэшить браузер обычной картинкой это дедовский способ, за него вознаграждение не выплатят. А вот крэшить иконкой это стильно, модно и молодёжно. Ну и выгодно.


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено i_stas , 16-Июн-15 14:33 
реез таймаут вестима

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено АнонимныйПотребительСпаржы , 15-Июн-15 22:04 
Win7 + Chrome = freeze & crash

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 22:13 
А как проверить на Вин 8.1 + Хром?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 00:26 
Забанен в гугле?
https://ru.wikipedia.org/wiki/Favicon

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 22:17 
А, там нужно самому инсталить эксплойт, потом самому его запускать.. накуй - тупо, нудно, не нужно.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 15-Июн-15 23:17 
Ну так не инсталли. Суть в том, что браузеры пытаются выжрать фавикон сайта в 9гб.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено bav , 15-Июн-15 23:47 
> Суть в том, что браузеры пытаются выжрать фавикон сайта в 9гб.

Суть в том что драма высосана из пальца. Если на каком-то ресурсе падает браузер, ты больше туда не пойдешь (если не дятел, конечно).


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Stax , 16-Июн-15 01:04 
Когда взломают opennet и подсунут сюда такой favicon, вы, конечно же, тут же перестанете сюда ходить. Вы же не дятел?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Crazy Alex , 16-Июн-15 01:04 
Вообще-то намёк верный - сайт должен иметь какие-то ограничения по памяти/процессору, и если хочет большего - должен быть явный запрос пользователю.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено X86 , 16-Июн-15 06:16 
Увольте. Проще сделать ограничение размера favicon в 10 мегабайт. 10 мегабайт точно хватит всем. Если favicon больше 10 мегабайт - пусть не загружается.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 08:34 
Ну вот из-за таких как вы у нас такие интернеты отсталые.

Вот вы сейчас введете ограничение в 10mb, а через 10 лет вас все будут ненавидеть и писать костыли.

Чем favicon отличается от картинки на сайте? Почему картинки можно загружать очень большие, а favicon нельзя?


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено vitektm , 16-Июн-15 08:45 
Может потому что за 20 лет размер реальных favicon не вырос ни на байт ?
У favicon есть суть. лейбл\превью 10мб это дофига для качественной фото.
на 10кб можно лечовеческое лицо определить.

Имхо из-за таких как вы у нас медленные интернеты???  А что хочу и выкладываю по 2мб картинки я создатель (порой даже не являющийся владельцем\заказчиком) что-хочу  то и делаю. А заказчик как правила "лопух". я еще и сделаю так чтоб даже банер в 2мб  у пользователя грузилка каждый раз заново.

"почувствуй нашу любовь"


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 11:32 
> Может потому что за 20 лет размер реальных favicon не вырос ни на байт ?

Ну вот как не вырос когда появились favicon=icon.apng, например. Или костыли для HiDPI.

> Имхо из-за таких как вы у нас медленные интернеты???

Ну вот почему вы вместо поднятия инфраструктуры и увеличения скорости канала считаете что не надо развивать эти наши интернеты и технологии?


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Mihail Zenkov , 16-Июн-15 14:58 
> Ну вот почему вы вместо поднятия инфраструктуры и увеличения скорости канала считаете что не надо развивать эти наши интернеты и технологии?

По тому, что уже сайт может съесть 2MB, а полезной информации на нем на 2KB. Зачем тупо тратить ресурсы? Больше платить за оборудование/трафик/электричество? Уже сейчас мы могли бы иметь дешевые, быстрые мобильные устройства работающие неделями и имеющие гораздо меньший вес, если бы не тупо наращивали мощность и также тупо ее тратили, а просто хоть немного задумались об оптимизации.


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 16:01 
Зачем греть воздух?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Sinot , 17-Июн-15 01:26 
А вы случаем не из тех самых, что считают оперативную память дешевой и что экономить ее не нужно?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 07:58 
А есть такое расширение для firefox и chrome?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 17-Июн-15 03:45 
> Суть в том что драма высосана из пальца. Если на каком-то ресурсе
> падает браузер, ты больше туда не пойдешь (если не дятел, конечно).

Если у тебя не 10Гбит эзернет, а сервак обслуживает поболее народа чем одного тебя, ты заметишь проблемы "немного" опосля. И тебе будет довольно сложно понять какой именно сайт в этом виноват.


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Дим , 15-Июн-15 23:24 
А в чем прикол то? Если страница слишком долго грузится, можно же просто нажать крестик? И чем тогда это фавикон отличается от любой другой картинки на странице, которую тоже можно сделать размером в надцать гигобайт?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Kamiram , 16-Июн-15 00:54 
ну тут конечно немного зауши 9 гигов.
но делаем чтото умеренно разумное. метров 500.
притом на разных сраницах разные ещё.
а он же их показывает в избранном, истории и прочем. вполне может начать дико тормозить просто при открытии броузера.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено soarin , 16-Июн-15 04:49 
Иногда нет, например, линуксовые ОСи вообще плохо ведут себя при "экстремальном" потреблении ОЗУ, что только ресет на системнике остаётся.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 05:35 
Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено б.б. , 16-Июн-15 06:09 
> Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?

это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq давить. А вот в OpenBSD, если ему вдруг становится "много", он просто убивает браузер по OOM через несколько секунд, и можно жить дальше :)


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Какаянахренразница , 16-Июн-15 08:34 
>> Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?
> это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian
> (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно
> начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать
> нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq
> давить.

Отключи своп -- и твой Дебиан будет умирать легко и безболезненно.



"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Anonymous4245345 , 16-Июн-15 11:30 
так он и пишет, что у него отключен

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Какаянахренразница , 16-Июн-15 13:53 
> так он и пишет, что у него отключен

Я подумал, что он имеет в виду "1.5 гигабайта, не считая свопа".


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 16:08 
>> Что такое "экстремальное" и почему при нехватке памяти не отработал OOM Killer?
> это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian
> (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно
> начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать
> нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq
> давить. А вот в OpenBSD, если ему вдруг становится "много", он
> просто убивает браузер по OOM через несколько секунд, и можно жить
> дальше :)

а подумать про особенности killer-а и почему он без swop-a не совсем ожидаемо работает?
Не уверен в том что это не поправили, но раньше была проблема ( причём она не связана с багами или ошибками, просто такой алгоритм ).


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 22:38 
> это, кстати, интересно. у меня 1.5 гб, без свопа. если в Debian (любой версии) наоткрывать страшных ссылок с флешем и прочим, то оно начинает жутко тупить, мыжжж не двигается практически, жизни нет, ничего сделать нельзя, любое действие отрабатывает по 5 минут - остаётся только sysrq давить. А вот в OpenBSD, если ему вдруг становится "много", он просто убивает браузер по OOM через несколько секунд, и можно жить дальше :)

То что вы пишете бывает когда swap включен. Без свопа убивается процесс мгновенно. У меня тоже Debian.


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено б.б. , 16-Июн-15 06:06 
SysRq на клавиатуре нет?

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено soarin , 16-Июн-15 17:11 
нет

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Дим , 15-Июн-15 23:25 
Да и у кого найдется насколько быстрый нэт, что он эти надацать гигабайт успеет выкачать до того, как он покинет страницу.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено bav , 15-Июн-15 23:31 
Следующие недоработки и отказ в обслуживании будут найдены в js/css файлах. Авторы истиные британцы.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Дим , 15-Июн-15 23:32 
По сути по такой схеме можно браузер нагрузить любым контентом, где не заданы ограничения по записи в оперативку.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено анвоар , 16-Июн-15 09:30 
Предсказываю, что после этой новости пройдёт небольшой вал таких атак и исследований.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено KOT040188 , 15-Июн-15 23:47 
Я ж эти 9гб два дня качать буду…

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено анон , 16-Июн-15 00:17 
Обидно будет такую страницу открыть с мобилки где  траф  по 8 руб за мег.


Интересно Squid  при дефолтных настройках  проблемы с такими иконками будет иметь ?


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено X86 , 16-Июн-15 06:19 
> Обидно будет такую страницу открыть с мобилки где  траф  по
> 8 руб за мег.

Если открыл страницу, а она еще грузится, жми стоп)


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Mihail Zenkov , 16-Июн-15 15:08 
Точно не уверен, но похоже не поможет.

Я иногда вижу подозрительную сетевую активность - tcpdump показывает что firefox не может поверить, что у сайта нет favicon и получив 404 шлет все новые и новые запросы ...

При этом браузер находится в простое и все сайты давно уже загружены. Хуже всего что такое поведение рандомное - может появится, может нет.


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 18-Июн-15 03:42 
Загрузку фавикона не видно. Выглядит будто его нет просто. И эскейп загрузку не остановит. Более того, у меня лиса продолжает качать даже после закрытия сайта.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено qqq , 19-Июн-15 13:24 
browser.chrome.favicons
browser.chrome.site_icons

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Kodir , 16-Июн-15 01:06 
жОперасты походу на чём сидели, тем и думали - ABP даже не ловит по фильтру "favicon" - они тупо грузят иконку напрямую! Капец погромисты...

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено none7 , 16-Июн-15 08:38 
И чем это отличается от обычной gzip бомбы, превращающей 1Мб в 1Гб? Тоже в общем то никто не фиксил.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Fracta1L , 16-Июн-15 08:57 
Предлагаю сделать проще: перенести всё содержимое сайта в favicon, а табы в браузерах сделать на весь экран.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Mihail Zenkov , 16-Июн-15 15:03 
> Предлагаю сделать проще: перенести всё содержимое сайта в favicon, а табы в
> браузерах сделать на весь экран.

И что-то мне подсказывает, что грузится такой сайт будет быстрее, чем современный веб со 100500 редиректами на сторонние сайты :(


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 09:55 
PoC http://badfavicon.cf/ в хроме, например, никак не отображается, что favicon все еще грузится.

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено IvAnZ , 16-Июн-15 11:17 
Симлинк из /dev/urandom в favicon.ico

"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 16-Июн-15 18:56 
> Симлинк из /dev/urandom в favicon.ico

/dev/zero + сжатие


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено Аноним , 17-Июн-15 03:47 
> Симлинк из /dev/urandom в favicon.ico

Добрая душа :)


"Связанная с favicon уязвимость в Chrome и Firefox"
Отправлено None , 17-Июн-15 13:48 
Там таких уязвимостей весь браузер, ограничений по RAM и CPU для отдельно взятой страницы не предусмотрено, ситуации отвала браузера происходят постоянно, пять фоток с зеркалки в альбом на имгуре залей, вот и кончился файрфокс.