日期:2014-05-17  浏览次数:20817 次

HTML5爆最新漏洞 垃圾数据可填满整个硬盘

  中国软件资讯网2013年03月04日消息 据国外媒体报道,HTML5是新一代的网页应用开发技术,一些人认为其将会取代iOS和安卓客户端开发技术。不过,美国一名22岁的WEB开发工程师最近发现HTML5在浏览器厂商的实施中发生一个大漏洞,大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间。

  据报道一位名叫菲罗斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)的开发者率先发现了这一漏洞,他表示,多数主流网络浏览器均会受到影响,包括苹果Safari、谷歌Chrome、微软IE和Opera。唯一能够阻止数据大量加载的是Mozilla的火狐浏览器,该产品的数据存储上限为5MB。他为这一漏洞提供了概念性攻击模型,此外还提供了演示网页。

  该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数,但很多都支持用户自定义限制,且至少会在用户电脑上存储2.5MB数据。

  阿伯克哈迪杰哈发现了一个绕过数据上限的方法,它创建了多个与用户访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况,所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站,该漏洞便可向受影响的电脑加载海量数据。

  在测试这一漏洞的过程中,阿伯克哈迪杰哈每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。他指出,Chrome等32位浏览器可能会在硬盘塞满前崩溃。

  “一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈说。

  阿伯克哈迪杰哈已经把这个Bug报告给了Chrome和Safari,相信用不了多久这个问题就会被修复,不过一直无法联系到微软的人,只能希望微软自己能发现这个报道了。