HTML5最新漏洞：用戶硬盤或被垃圾數(shù)據(jù)塞滿

2013年03月04日 09:42

北京時間3月4日早間消息，HTML5編程語言的一個最新漏洞今天被發(fā)現(xiàn)，它允許網(wǎng)站利用數(shù)GB垃圾數(shù)據(jù)對用戶展開轟炸，甚至?xí)诙虝r間內(nèi)將硬盤塞滿。多款主流瀏覽器均會受此影響。

　　一位名叫菲羅斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)的開發(fā)者率先發(fā)現(xiàn)了這一漏洞，他表示，多數(shù)主流網(wǎng)絡(luò)瀏覽器均會受到影響，包括蘋果Safari、谷歌Chrome、微軟IE和Opera。唯一能夠阻止數(shù)據(jù)大量加載的是Mozilla的火狐瀏覽器，該產(chǎn)品的數(shù)據(jù)存儲上限為5MB。

　　該問題的根源在于HTML5存儲本地數(shù)據(jù)的方式。雖然每個瀏覽器都有不同的存儲參數(shù)，但很多都支持用戶自定義限制，且至少會在用戶電腦上存儲2.5MB數(shù)據(jù)。

　　阿伯克哈迪杰哈發(fā)現(xiàn)了一個繞過數(shù)據(jù)上限的方法，它創(chuàng)建了多個與用戶訪問過的網(wǎng)站鏈接的臨時網(wǎng)站。由于多數(shù)瀏覽器不會計算這種偶然情況，所以二級網(wǎng)站也可以存儲與主網(wǎng)站相同量的數(shù)據(jù)。通過大批生成這種網(wǎng)站，該漏洞便可向受影響的電腦加載海量數(shù)據(jù)。

　　在測試這一漏洞的過程中，阿伯克哈迪杰哈每16秒即可向他的固態(tài)硬盤版MacBook Pro中加載1GB數(shù)據(jù)。他指出，Chrome等32位瀏覽器可能會在硬盤塞滿前崩潰。

　　“一些采用高明代碼的網(wǎng)站其實已經(jīng)取消了用戶電腦對數(shù)據(jù)存儲的限制?！卑⒉斯辖芄f。

　　阿伯克哈迪杰哈已經(jīng)發(fā)布一組代碼來利用該漏洞，并創(chuàng)建了一個名為Filldisk的專用網(wǎng)站來凸顯該漏洞的危害。他已經(jīng)將此事報告給受影響的瀏覽器開發(fā)商，但尚未發(fā)現(xiàn)惡意行為的大面積爆發(fā)。

（編輯：Jesse）

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號院
綜合部(黨群部)

010-57234929-1056

財務(wù)人事部

010-57234929-1112

宣傳部

010-57234929-1002、010-57234929-1003

網(wǎng)民權(quán)益保護部

010-57234929-1012

研究部(標(biāo)準(zhǔn)工作辦公室)

010-57234929-1039、010-57234929-1038

中國互聯(lián)網(wǎng)大會專班

18511857092
國際部

010-57234929-1128、010-57234929-1127

會員部

010-57234929-1120、1121、1122、1123、1125

監(jiān)管支撐部

010-57234929-1027

產(chǎn)業(yè)促進部

010-57234929-1032、 010-57234929-1059

創(chuàng)新發(fā)展與人才工作部

010-57234929-1052、010-57234929-1053

北京中互網(wǎng)來信息技術(shù)有限公司

13910986745