browser logos

Ευπάθεια επιτρέπει σε hackers να σας γεμίσουν τους δίσκους γάτες

Ο Feross Aboukhadijeh, είναι ένας προγραμματιστής και φοιτητής του Στάνφορντ στην επιστήμη των υπολογιστών. Ο κύριος  Feross έχει εντοπιστεί μια ευπάθεια που θα μπορούσε να αξιοποιηθεί για να κατακλύσει τους σκληρούς δίσκους του κάθε υπολογιστή με σκουπίδια σε πολύ σύντομο χρονικό διάστημα. Οι browsers Internet Explorer, Safari, Opera και Chrome όλοι επηρεάζονται από την ευπάθεια.

browser-logos

Για να αποδείξει το ευρήμα του, ο Aboukhadijeh δημιούργησε μια ιστοσελίδα που ονομάζεται FillDisk.com, επισκεφτείτε τη και  θα σας γεμίζει τον υπολογιστή σας με εικόνες γατιών.

Οι δοκιμές που έχουν πραγματοποιηθεί από τον εμπειρογνώμονα έχουν δείξει ότι δεδομένα 1 GB μπορούν να κατέβουν σε 16 δευτερόλεπτα στον δίσκο ενός Macbook Pro Retina.

Ο Aboukhadijeh εξηγεί ότι το HTML5 Web Storage standard αναπτύχθηκε για να επιτρέπει στις ιστοσελίδες την αποθήκευση μεγαλύτερου όγκου δεδομένων στον υπολογιστή του επισκέπτη. Ωστόσο, οι προδιαγραφές κάθε προγράμματος περιήγησης συμβουλεύει τους προγραμματιστές να θέτουν τους δικούς τους περιορισμούς στο μέγεθος του χώρου αποθήκευσης της κάθε ιστοσελίδας για να αποφευχθούν ενέργειες σαν και αυτή που περιγράψαμε παραπάνω.

  Securi: Χιλιάδες Wordpress με iFrame που οδηγεί σε malware

Για παράδειγμα, ο Chrome επιτρέπει 2,5 MB ανά προέλευση, ο Firefox και ο Opera επιτρέπει 5 MB και ο Internet Explorer αρκετά περισσότερα, αφού επιτρέπει 10 MB.

Ενώ οι προμηθευτές των προγράμματος περιήγησης έχουν εφαρμόσει αυτόν τον περιορισμό, παραμέλησαν μια άλλη πτυχή που συνιστάται από το  HTML5 Web Storage standard:

“User agents should guard against sites storing data under the origins other affiliated sites, e.g. storing up to the limit in a1.example.com, a2.example.com, a3.example.com, etc, circumventing the main example.com storage limit.”

Στο Chrome, το Safari, τον Opera και τον IE αυτοί οι περιορισμοί δεν έχουν εφαρμοστεί έτσι ώστε κάθε subdomain ενός site μπορείτε να στείλει τα 2,5 MB, 5 MB ή 10 MB που επιτρέπονται από το πρόγραμμα περιήγησης.

Ως αποτέλεσμα, ένα δικτυακό τόπο, όπως FillDisk.com μπορεί να έχει απεριόριστο αποθηκευτικό χώρο στη συσκευή του χρήστη.

Ο εμπειρογνώμονας έχει αναφέρει την ευπάθεια στο Google, την Apple, την Microsoft και την Όπερα και ελπίζει στην άμεση αντιμετώπιση αυτού του ζητήματος.

  Τι κάνει ο αισθητήρας LiDAR του iPhone 12 Pro

Αποδεικνύεται ότι το Firefox δεν επηρεάζεται, διότι εφαρμογή του Mozilla “localStorage¨είναι αρκετά έξυπνη.

Εδώ είναι το POC σε βίντεο που δημοσιεύθηκε από τον Aboukhadijeh:

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


1  +  5  =