Subprocesso suspeito do Firefox (acabou sendo um comportamento FF legítimo)

5

Eu descobri isso ontem, já que ele estava gerando a carga do sistema em uma máquina ociosa do Ubuntu 14.04 Desktop.

Hoje, eu confirmei esse comportamento também em outra instância do Ubuntu (17.10 no Virtualbox VM)

O sub-processo na linha de comando se parece com o seguinte (eu coloquei isso como imagem abaixo intencionalmente para evitar que o askubuntu.com altere / escape o conteúdo)

Para mim, parece uma exploração / malware. Ou pelo menos há algo a esconder.

isso acontece mesmo para o link de URL

    
por Piotr 02.11.2017 / 09:38

3 respostas

5

Isso está relacionado ao recurso de vários processos do Firefox, através do seguinte link oficial.

link

Existem muitos outros tópicos do Linux sobre isso, com a mesma saída que você publicou, todos relacionados ao recurso de multiprocessos do Firefox.

    
por Legolas 02.11.2017 / 10:19
2

As versões recentes do Firefox estão executando vários processos em vez de um único processo.

Sobre o processo múltiplo

O multi-processo é aplicável a todos os usuários do Firefox desde O Firefox 54 foi lançado em junho de 2017 . A documentação do Multiprocess Firefox descreve que o Firefox executa a interface do usuário do navegador em um processo separado do conteúdo da web. Como resultado, os usuários podem ver o "sub-processo suspeito" na lista de processos.

Muitos usuários finais parecem estar preocupados com a parte oculta do subprocesso, conforme mencionado em fórum no mozillaZine e este tópico no Fórum do Mozilla ; Há muitos para serem citados aqui.

Respostas diretas

  

Para mim, parece com exploit / malware (o subprocesso é malicioso?)

Não, versões recentes do comportamento do Firefox são assim.

  

Ou pelo menos há algo a esconder (há algo a esconder?)

Não, não há nada oculto. Os usuários finais podem ver de maneira diferente do que os desenvolvedores veem. Muito poucos usuários podem ter notado que não há nada a esconder no processo.

Como pode ter certeza

Existem duas razões pelas quais podemos ter certeza:

  1. O fato de os desenvolvedores não se preocuparem em explicar os detalhes do subprocesso é a razão pela qual podemos ter certeza de que não é malicioso. Pelo menos, eu não encontrei tal detalhe para esta data.

  2. Esta resposta parcial da TT Farreo no Stack Overflow no final de 2017 sugeriu que a parte oculta do subprocesso é relacionado à lista de personagens na lista negra da Mozilla.

  

[...] A lista de personagens esquisitos parece corresponder aos caracteres na lista negra listados no link [...]

Agora podemos entender os caracteres estranhos:

  • Veja esses caracteres fracionários? Verificado.
  • Veja os caracteres de bloco binário? Verificado.
  • Veja esses espaços invisíveis? Verificado.
  • Veja a unidade esmagada de coisa radiana? Verificado.
  • Veja o ponto de interrogação no caractere de diamante negro? Verificado.

A resposta no Stack Overflow também incluiu um link para o código-fonte do processo de conteúdo usado pelo Firefox. Os usuários finais normalmente não mergulham em tantos detalhes, e é por isso que essa resposta no Ask Ubuntu já seria boa o suficiente.

O subprocesso é normal, isso é tudo.

    
por clearkimura 02.02.2018 / 10:55
0

Eu notei a mesma coisa na noite passada e comecei a inspecioná-lo com xxd . Meu melhor palpite seria que esta é uma forma de comunicar ponteiros para recursos compartilhados ou identificar-se (localizações virtuais adjacentes e comprimento constante causariam periodicidade), mas algumas coisas me convenceram do contrário.

c783 cb90 3f3f d689 d68a d783 
d7b4 d889 d88a d9aa db94 dc81 
dc82 dc83 dc84 e185 9fe1 85a0 
e19c b5e2 8080 e280 81e2 8082 
e280 83e2 8084 e280 85e2 8086 
e280 87e2 8088 e280 89e2 808a 
3f3f 3fe2 8090 e280 99e2 80a4 
e280 a73f 3f3f 3f3f 3f3f e280 
afe2 80b9 e280 bae2 8181 e281 
84e2 8192 e281 9fe2 8593 e285 
94e2 8595 e285 96e2 8597 e285 
98e2 8599 e285 9a3f e285 9ce2 
859d e285 9ee2 859f e288 95e2 
88b6 e28e aee2 95b1 e2a7 b6e2 
a7b8 e2ab bbe2 abbd e2bf b0e2 
bfb1 e2bf b2e2 bfb3 e2bf b4e2 
bfb5 e2bf b6e2 bfb7 e2bf b8e2 
bfb9 e2bf bae2 bfbb e380 80e3 
8082 e380 94e3 8095 e380 b3e3 
82a0 e385 a4e3 889d e388 9ee3 
8eae e38e afe3 8f86 e38f 9fea 
9e89 efb8 94ef b895 efb8 bfef 
b99d efb9 9e3f efbc 8eef bc8f 
efbd a1ef bea0 3f3f 3fef bfbc 
efbf bd0a

Eu apareei até a nova linha anterior (e a deixei, 0a , no final). Alinhei-a com base apenas na repetição, ou seja, 12 bytes por linha até a linha parcial de 25ª. A razão pela qual eu espaçei os bytes da maneira que fiz foi mostrar que há (o que parece) continuações UTF8 (a tabela na parte inferior.) No entanto, vale a pena mencionar que seguir a convenção de uma codificação estabelecida e bem conhecida oferece o mesmo benefício: você pode representar grandes valores, mas manter os pequenos compactos. Por outro lado, por algum motivo, eles parecem estar combinando ? e apenas bytes maiores que 80. A próxima seção da página da Wikipedia mostra que há caracteres imprimíveis dentro desse intervalo, mas cada vez menos entre eles. Eu não acredito que o objetivo tenha algo a ver com a composição de caracteres UTF8 muito amplos, mas, ao contrário, é como se eles estivessem evitando os caracteres mais universalmente imprimíveis no conjunto ASCII. Neste ponto, o melhor que posso encontrar é que eles sabiam que teriam que codificar e incorporar strings de comprimento arbitrário, ou seja, 'stringPrefs', e talvez optassem por usar bytes altos imprensados por bytes baixos, apenas facilitando a extração. Tanto quanto eu posso dizer, o ? serve como delimitadores e preenchimento.

Não estou satisfeito, mas não tenho muito mais a oferecer. Para meu benefício, comecei a substituir os personagens mais comuns e é um pouco mais fácil ver o que está acontecendo:

c783 cb90      d689 d68a d783
d7b4 d889 d88a d9aa db94 dc81
dc82 dc83 dc84 e185 9fe1 85a0
e19c b5++ ---- ++-- 81++ --82
++-- 83++ --84 ++-- 85++ --86
++-- 87++ --88 ++-- 89++ --8a
       ++ --90 ++-- 99++ --a4
++-- a7                  ++--
af++ --b9 ++-- ba++ 8181 ++81
84++ 8192 ++81 9f++ 8593 ++85
94++ 8595 ++85 96++ 8597 ++85
98++ 8599 ++85 9a   ++85 9c++
859d ++85 9e++ 859f ++88 95++
88b6 ++8e ae++ 95b1 ++a7 b6++
a7b8 ++ab bb++ abbd ++bf b0++
bfb1 ++bf b2++ bfb3 ++bf b4++
bfb5 ++bf b6++ bfb7 ++bf b8++
bfb9 ++bf ba++ bfbb e3-- --e3
--82 e3-- 94e3 --95 e3-- b3e3
82a0 e385 a4e3 889d e388 9ee3
8eae e38e afe3 8f86 e38f 9fea
9e89 efb8 94ef b895 efb8 bfef
b99d efb9 9e   efbc 8eef bc8f
efbd a1ef bea0        ef bfbc
efbf bd0a

Eu vejo muito mais estrutura do que eu poderia esperar de strings criptografadas e codificadas, a menos que isso seja algum tipo de esteganografia. Se alguém puder levar o bastão, eu ficaria agradecido, e não apenas porque estou curioso - gostaria de saber mais cedo do que tarde se há algo digno de se esconder lá.

    
por John P 22.01.2018 / 03:39