HTML5最新漏洞：用戶硬碟或被垃圾數據塞滿

divale

HTML5最新漏洞：用戶硬碟或被垃圾數據塞滿
鉅亨網新聞中心　(來源：北美新浪)　2013-03-04 09:56:11

新浪科技訊 北京時間3月4日早間消息，HTML5編程語言的一個最新漏洞今天被發現，它允許網站利用數GB垃圾數據對用戶展開轟炸，甚至會在短時間內將硬碟塞滿。多款主流瀏覽器均會受此影響。

一位名叫菲羅斯·阿伯克哈迪傑哈(Feross Aboukhadijeh)的開發者率先發現了這一漏洞，他表示，多數主流網路瀏覽器均會受到影響，包括蘋果Safari、谷歌Chrome、微軟IE和Opera。唯一能夠阻止數據大量加載的是Mozilla的火狐瀏覽器，該品的數據存儲上限為5MB。

該問題的根源在於HTML5存儲本地數據的方式。雖然每個瀏覽器都有不同的存儲參數，但很多都支持用戶自定義限制，且至少會在用戶電腦上存儲2.5MB數據。

阿伯克哈迪傑哈發現了一個繞過數據上限的方法，它創建了多個與用戶訪問過的網站連結的臨時網站。由於多數瀏覽器不會計算這種偶然情況，所以二級網站也可以存儲與主網站相同量的數據。通過大批生成這種網站，該漏洞便可向受影響的電腦加載海量數據。

在測試這一漏洞的過程中，阿伯克哈迪傑哈每16秒即可向他的固態硬碟版MacBook Pro中加載1GB數據。他指出，Chrome等32位瀏覽器可能會在硬碟塞滿前崩潰。

「一些採用高明代碼的網站其實已經取消了用戶電腦對數據存儲的限制。」阿伯克哈迪傑哈說。

阿伯克哈迪傑哈已經發佈一組代碼來利用該漏洞，並創建了一個名為Filldisk的專用網站來凸顯該漏洞的危害。他已經將此事報告給受影響的瀏覽器開發商，但尚未發現惡意行為的大面積爆發。(書聿)