Firefoxが一瞬でクラッシュする魔法のスクリプト no comments
こんにちは。
世間はお盆ですがまだまだ暑いですね。
さて先月の話になるのですが、いつものようにXSSを試しているとなぜかFirefoxだけうまくいきません。
何が原因なのかをいろいろ試してみたところ、急にFirefoxがクラッシュするようになりました。
単純化するとこんなコードです。
<html>
<script>
window.location.protocol='javascript'
</script>
</html>
???
ということでWindowsとMacとFirefoxOSのエミュレーターで試してみたのですがやっぱり日頃見かけないクラッシュ画面が出てきます。
試してみたい方はこちらからどうぞ(FF40では修正されているのでそれ以下のバージョンでどうぞ)
なんじゃこりゃ!
ということでMozillaに連絡してみると本当にFirefoxのバグみたいでした。
今クラッシュが起こること確認しているバージョンはFirefox38.0.5〜39.0.3です。Windows、MacOSX、Androidとプラットフォームは問いません。
あとFirefox ESR 38より前のバージョンでもクラッシュが起こるとの報告を受けています(ESR38で修正済み)。あとFirefoxOSでもクラッシュします。
そんなこんなで先月やりとりを行い、Firefox40で修正されたのですが、
どうやらMozillaはセキュリティの問題とは考えてないみたいで、セキュリティ問題修正のリストには掲載されていないようです。
そしてセキュリティの問題と考えていないのですから、もちろんbugzillaでもこのスクリプトは公開されています。
1ヶ月近くもゼロデイを公開しても問題無いと思っているMozillaとはセキュリティに対する考え方が違うんだろうなあと思っていますが、彼らのやり方なのでしょうから仕方ありません。
Firefoxには他にも掲載されていないセキュリティの問題が存在しているんだろうなあと想像させられるお盆休みです。