El Firefox i l’Opera, immunes a una vulnerabilitat que gasta tota la memòria del disc dur en visitar una pàgina

Vulnerabilitat que ocupa el disc dur

Web Storage és una tecnologia englobada dins l’estàndard HTML5 que permet a les pàgines web emmagatzemar dades a l’ordinador de l’usuari per després manipular-les amb JavaScript. Es diferencien de les galetes (cookies) perquè permeten emmagatzemar una quantitat molt més elevades de dades, passant dels 4 KB de les galetes a uns entre 2,5 i 10 MB depenent del navegador.

El límit és un requisit per evitar que una pàgina web maliciosa no ompli tota la memòria del disc dur i deixi l’ordinador inoperatiu. Malgrat aquesta protecció, s’ha trobat una manera d’esquivar el límit i poder atacar l’ordinador de l’usuari, es tracta de crear diferents subdominis i emmagatzemar 10 MB per cada subdomini fins haver gastat tota la memòria disponible.

Per sort, no tots els navegadors en són víctimes, així el Firefox i l’Opera imposen el límit depenent del domini, independentment de quin sigui el subdomini, de manera que són immunes a aquest atac. No obstant, el Chrome, el Safari i l’Internet Explorer imposen el límit depenent del subdomini i, per tant, sí que resulten afectats.

El desenvolupador i descobridor d’aquesta vulnerabilitat Feross Aboukhadijeh n’ha publicat un exemple a la pàgina www.filldisk.com (proveu-lo sota la vostra responsabilitat). El que fa, bàsicament, és crear un conjunt de subdominis 1.filldisk.com, 2.filldisk.com, 3.filldisk.com… i anar omplint la memòria fins que està plena. En podeu veure un exemple de mostra al següent vídeo:

Share Button