Um Bug no Favicon pode Travar Navegadores Populares, Incluindo o Chrome, Firefox e Safari
Às vezes, os hackers têm um pouco de senso de humor. No entanto, esse pouco humor nem sempre se traduz em uma grande risada ou risada incontrolável quando um grande número de usuários de computador precisam sofrer para a diversão de hackers astutos .
Andrea De Pasquale, analista de segurança e desenvolvedora de software, recentemente encontrou uma maneira divertida de travar navegadores da Web populares através do uso de um favicon. Aqueles de nós bem versados em desenvolvimento web ou entendendo como os sites funcionam no back-end sabem o que é um favicon. Para quem não sabe, favicon é a abreviação de "ícone favorito" e é usado como um ícone de atalho ou ícone de marcador para navegadores da web. Geralmente, um favicon é mostrado como um pequeno ícone nos navegadores da web para associar um ícone visual ao site carregado no momento. Muitas vezes o favicon representa o logotipo do site associado.
Nas descobertas de De Pasquale, foi revelado que o uso de um arquivo favicon massivamente grande foi o culpado por travar vários tipos de navegadores da web. O uso de um arquivo favicon de mais de 10 GB causou uma falha nos navegadores da web Google Chrome, Mozilla Firefox e aplicativos Safari da Apple.
A descoberta desse bug do favicon revela muitas coisas sobre uma potencial vulnerabilidade que ainda precisa ser explorada em alto nível. Alguns concluem que os favoritos representam um sério risco para a segurança e a estabilidade dos aplicativos de navegador da web e podem resultar em outros problemas sérios de segurança.
Em testes realizados por pesquisadores, navegadores como o Google Chrome conseguiram baixar quase 10 GBs de dados, a maioria de um arquivo favicon altamente inflado. O que esta instância nos mostra é que os favoritos permanecem como um item carregado nos navegadores da web que não é enviado por meio de uma verificação de segurança ou uma limitação para o tamanho do download. Por esse motivo, navegadores como Chrome, Firefox e Safari simplesmente travam e exigem reinicialização ou reinicialização do computador afetado.
Ultimamente, a vulnerabilidade favicon despertou muita atenção e foi seguida pelo Firefox, sendo um dos primeiros a corrigir o problema com uma versão corrigida disponível para a próxima atualização. O patch resolverá o problema inicial que De Pasquale descobriu com um favicon maior baixado em um site que carrega um arquivo .tar de backup do WordPress em vez do favicon tradicional.
A possível precipitação que pode resultar de uma vulnerabilidade com os favoritos nos aplicativos de navegador da Web é a probabilidade de hackers injetarem malware ou qualquer tipo de arquivo, independentemente do tamanho passado pelo navegador. Nesse caso, os navegadores da Web podem estar utilizando grandes quantidades de largura de banda para baixar favicons com 10 GB de tamanho. Basta pensar que, nesse tamanho, é o equivalente a baixar e transmitir alguns filmes em alta definição. A única coisa é que você não obtém a satisfação de um bom entretenimento. Em vez disso, você fica com um navegador da web travando.
Os especialistas em segurança acreditam que, como os favicons não têm nenhum tipo de restrição ou regra, incluindo o tipo de arquivo renderizado pelos navegadores da web para carregar um favicon, os hackers podem injetar todos os tipos de arquivos diferentes para serem baixados automaticamente pelos navegadores da Web. Lembre-se de que todo navegador da Web, por padrão, tentará carregar um favicon sem nenhum aparente bloqueio de estrada ou verificação de segurança.
Métodos nefastos podem ser criados para transmitir arquivos ou softwares ilegais através de favoritos. Basta pensar que os sites favicon warez poderiam ser criados para distribuir secretamente aplicativos piratas e até filmes piratas. Temos certeza de que as empresas de navegadores resolverão o bug do favicon antes de chegarmos a esse ponto, mas isso não impede que os hackers pensem em uma idéia tão astuta.