Hirdetés

Orbitális exploit a népszerű webböngészőkben

|

Csak a Firefoxot nem képes egyáltalán teleszemetelni egy új script.

Hirdetés

Feross Aboukhadijeh nemrég döbbenetes hibára hívta fel a figyelmet, amely segítségével az Internet Explorer, Safari és Chrome böngészőket futtató számítógépek merevlemezét pillanatok alatt tele lehet szemetelni, ráadásul ehhez csupán egy preparált weboldalt kell meglátogatnia az áldozatnak. A Firefoxot egyáltalán nem érinti a probléma, míg az Opera egy bizonyos adatmennyiség után megkérdezi a felhasználót, hogy engedélyezi-e további helyfoglalást.


A probléma forrása a HTML5 Web Storage API, amely segítségével a weboldalak képesek állományokat tárolni a látogató webböngészőjében, ám ez nem tévesztendő össze a szimpla gyorsítótárral. A szabvány dokumentációja a méretek kapcsán azt javasolja, hogy a domainenként tárolható adatmennyiség maximum 5 megabájt legyen, ám a mostani hibában érintett böngészők lehetővé teszik, hogy korlátlan számú aldomainről is lehessen pluszban adatot tárolni.


A példa kedvéért a „valami.hu” összességében csak és kizárólag 5 megabájtot tárhelyet foglalhatna, viszont az érintett webböngészőkben a portál képes lenne extra adatot menteni az „1.valami.hu”, „2.valami.hu”, „3.valami.hu” stb. aldomainekről is. Mindezt pedig addig tehetné, míg el nem fogyna a merevlemezen elérhető szabad hely, vagy össze nem omlana a böngésző.

Hirdetés


Szerencsére az exploit adatlopásra vagy távoli kódfuttatásra nem alkalmas, ám nem lepődnénk meg, ha nem túl kifinomult humorérzékű egyének viccből visszaélnének a hibás működéssel. A probléma illusztrálására Aboukhadijeh létrehozott egy weboldalt, plusz a „támadó” kód a GitHubról is elérhető.

Ügyfélszolgálati változás!
Hirdetés
Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.