Новый эксплойт «захламляет» жесткий диск

Новый эксплойт «захламляет» жесткий дискПрограммист Феросс Абухадиже, специализирующийся на веб-приложениях, создал и продемонстрировал в работе неожиданно эффективный эксплойт для технологии Web Storage. На своем сайте с красноречивым названием FillDisk.com («ЗаполниДиск.ком») разработчик показал, как можно через браузер заполнить свободное место на локальном жестком диске без ведома пользователя.

Предупреждаем – не стоит заходить на сайт FillDisk.com без особой на то необходимости. Уязвимости с несанкционированной загрузкой почти неограниченного объема данных подвержены такие актуальные браузеры, как Chrome, Safari и IE. В одном из экспериментов сам разработчик обнаружил, что каждые 16 секунд сайт FillDisk.com загружает 1 Гбайт ничего не значащих данных на твердотельный накопитель ноутбука MacBook Pro Retina.

Необычные возможности сайта FillDisk.com построены на манипуляциях с технологией Web Storage, включенной в спецификацию HTML5. Стандарт Web Storage призван облегчить работу с веб-сайтами за счет возможности сохранения части используемых данных на локальном жестком диске посетителя. Это может быть полезным при заполнении длинных веб-форм: если браузер неожиданно завершит работу, уже введенные данные останутся в целости и сохранности, когда посетитель зайдет на ту же страницу в следующий раз. Авторы стандарта специально предупреждают разработчиков браузеров, чтобы они предусматривали ограничения на случай злоупотребления данной функцией.

Конечно, браузеры Chrome, IE и Safari имеют ограничения на объем загружаемых для локального сохранения данных, но это ограничение действует только на отдельные субдомены, но не на домены более высокого уровня. Работа сайта FillDisk.com базируется на использовании множества субдоменов вида «1.filldisk.com», «2.filldisk.com» и так далее, чтобы передать максимальный объем данных на жесткий диск посетителя. Из всех браузеров, которые испытал Абухадижи на своем сайте, только Mozilla Firefox смог реализовать ограничение и остановить загрузку. Также автор эксплойта отмечает, что реализация такого опасного приема оказалась совсем несложной.

Чтобы не возлагать лишней вины на разработчиков браузеров, не выдержавших испытания на FillDisk.com, стоит отметить, что данный эксплойт не подвергает опасности персональные данные, а также не открывает возможностей для удаленного исполнения вредоносных кодов. По сравнению с многими другими уязвимостями, показанный на сайте FillDisk.com эксплойт можно охарактеризовать как малозначительный. В то же время, нетрудно представить злоумышленников, которые будут рассылать опасные ссылки хотя бы для того, чтобы позлить людей, а в некоторых случаях (подтверждено для нескольких не самых распространенных версий Chrome) возможно аварийное завершение работы браузера.
Источник

Свежие новости

09:00
Общак Януковича: названо имя соратника "легитимного", сдавшего $1,5 миллиарда
22:00
Привет Гройсману: зарплатный долг перевалил за 2 млрд
21:30
Порошенко рассказал, на что пойдут конфискованные 1,5 млрд долл. режима Януковича
20:30
Илья Кенигштейн: Необразованные маргиналы и идиоты парализуют развитие Украины
20:16
Яценюк не будет «чистить» банки, а заработает на жизнь политикой
19:10
Банк Ахметова получил за квартал 480 млн прибыли
19:00
"Я шел на выборы с лозунгом "Городу нужен сильный мэр", поэтому теперь, пожалуйста, не жалуйтесь", - Филатов
18:14
НАБУ показало как вор Мартыненко давит на правосудие
18:06
Турчинов объяснил, почему деньги Януковича смогли вернуть в госбюджет только через суд
17:35
Татьяна Донец заняла партнеру по Раде и будущему мужу Дзензерскому почти 39 млн
16:55
Шуфрич продал Ахметову свою долю в «Нефтегаздобыче»
16:10
Преступления без наказания: почему НАБУ не удалось посадить крупных коррупционеров
16:00
В Житомирской области за взятку задержали чиновника института Нацакадемии аграрных наук
15:19
Опубликован презентационный ролик «Евровидения-2017»
15:00
В Нацбанке объяснили, как с ПриватБанка за ночь пропали 16 млрд грн
14:30
Как заработать 700 грн на государстве. Иструкция по монетизации субсидий
14:10
Как "шпионские" программы следят за украинцами на работе
Больше новостей