HTML5 може бути небезпечний для вашого комп’ютера

У веб-стандарті HTML5, який Стів Джобс активно просував в якості більш безпечної альтернативи Adobe Flash, була виявлена ​​серйозна уразливість. Як повідомляють розробники, вона дозволяє сайтам завантажувати на комп’ютери гігабайти непотрібних даних, які можуть містити не тільки нешкідливі файли. http://mars.te.ua/html5-bad-from-pc/ Розробник Феросс Абухадіджех розповів, що таку операцію можна провернути з використанням більшості самих популярних браузерів, в числі яких Safari, Chrome, Internet Explorer і Opera. Єдиним браузером, який захищений від цієї уразливості, є Mozilla Firefox, де є обмеження кеша в розмірі 5 мегабайт. Проблема пов’язана з тим, як HTML5 обробляє дані в локальному сховищі. У той час як кожен браузер має різні параметри кешу, багато з них можуть підтримувати зберігання на комп’ютері користувача практично необмежену кількість файлів. Абухадіджех виявив лазівку, що дозволяє обійти ліміт браузерів допомогою створення величезної кількості сайтів, облінкований з ресурсів, який відвідав користувач. В результаті такі другорядні сайти отримують можливість завантажувати на комп’ютер велика кількість блоків даних, рівних за своїми розмірами встановленим лімітам браузера. Завдяки генеруванню величезної кількості пов’язаних один з одним сайтів зловмисники можуть вивалювати на комп’ютер жертви необмежені обсяги непотрібної інформації. Відчуваючи цю уразливість, розробник зміг за 16 секунд завантажити 1 гігабайт на свій Retina MacBook Pro з SSD-накопичувачем. Він зазначив, що в якийсь момент використаний їм браузер Chrome просто перестав працювати. Щоб продемонструвати те, як можна експлуатувати даний баг, Абухадіджех створив спеціальний сайт під назвою Filldisk, посилання на який відправив розробникам браузерів. Після запуску сайту на жорсткий диск комп’ютера користувача закачується велике кількості фотографій котів. Але навряд чи варто довго чекати того моменту, коли менш дружелюбно налаштовані програмісти використовують цю дірку для завантаження на машини жертв куди більш небезпечні файли. Сподіваємося, що в якнайшвидшому часі уразливість все ж вдасться усунути.

Напишіть відгук

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *