HTML5架构的一个漏洞近日被曝光了。该漏洞允许网站利用垃圾数据对用户展开轰炸,甚至会在短时间内将硬盘塞满,包括多款主流浏览器均会受此影响,包括苹果Safari、谷歌Chrome、微软IE和Opera等。唯一能够阻止数据大量加载的是Mozilla的火狐浏览器,该产品的数据存储上限为5MB。曝光者阿伯克哈迪杰哈在其博客里指出,像Chrome这样的32位浏览器,会在磁盘被填满时崩溃。“经过巧妙编码的网站,可以在访问者的电脑上无限制地存储数据”。 该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数,但很多都支持用户自定义限制,且至少会在用户电脑上存储2.5MB数据。
由于多数浏览器不会计算这种偶然情况,所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站,该漏洞便可向受影响的电脑加载海量数据。 “一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈已经发布一组代码来利用该漏洞,并创建了一个名为Filldisk的专用网站来凸显该漏洞的危害。他已经将此事报告给受影响的浏览器开发商,但尚未发现恶意行为的大面积爆发。
[SCANV] |
|
发表于 2013-3-5 15:50