Ο Feross Aboukhadijeh, είναι ένας προγραμματιστής και φοιτητής του Στάνφορντ στην επιστήμη των υπολογιστών. Ο κύριος Feross έχει εντοπιστεί μια ευπάθεια που θα μπορούσε να αξιοποιηθεί για να κατακλύσει τους σκληρούς δίσκους του κάθε υπολογιστή με σκουπίδια σε πολύ σύντομο χρονικό διάστημα. Οι browsers Internet Explorer, Safari, Opera και Chrome όλοι επηρεάζονται από την ευπάθεια.
Για να αποδείξει το ευρήμα του, ο Aboukhadijeh δημιούργησε μια ιστοσελίδα που ονομάζεται FillDisk.com, επισκεφτείτε τη και θα σας γεμίζει τον υπολογιστή σας με εικόνες γατιών.
Οι δοκιμές που έχουν πραγματοποιηθεί από τον εμπειρογνώμονα έχουν δείξει ότι δεδομένα 1 GB μπορούν να κατέβουν σε 16 δευτερόλεπτα στον δίσκο ενός Macbook Pro Retina.
Ο Aboukhadijeh εξηγεί ότι το HTML5 Web Storage standard αναπτύχθηκε για να επιτρέπει στις ιστοσελίδες την αποθήκευση μεγαλύτερου όγκου δεδομένων στον υπολογιστή του επισκέπτη. Ωστόσο, οι προδιαγραφές κάθε προγράμματος περιήγησης συμβουλεύει τους προγραμματιστές να θέτουν τους δικούς τους περιορισμούς στο μέγεθος του χώρου αποθήκευσης της κάθε ιστοσελίδας για να αποφευχθούν ενέργειες σαν και αυτή που περιγράψαμε παραπάνω.
Για παράδειγμα, ο Chrome επιτρέπει 2,5 MB ανά προέλευση, ο Firefox και ο Opera επιτρέπει 5 MB και ο Internet Explorer αρκετά περισσότερα, αφού επιτρέπει 10 MB.
Ενώ οι προμηθευτές των προγράμματος περιήγησης έχουν εφαρμόσει αυτόν τον περιορισμό, παραμέλησαν μια άλλη πτυχή που συνιστάται από το HTML5 Web Storage standard:
“User agents should guard against sites storing data under the origins other affiliated sites, e.g. storing up to the limit in a1.example.com, a2.example.com, a3.example.com, etc, circumventing the main example.com storage limit.”
Στο Chrome, το Safari, τον Opera και τον IE αυτοί οι περιορισμοί δεν έχουν εφαρμοστεί έτσι ώστε κάθε subdomain ενός site μπορείτε να στείλει τα 2,5 MB, 5 MB ή 10 MB που επιτρέπονται από το πρόγραμμα περιήγησης.
Ως αποτέλεσμα, ένα δικτυακό τόπο, όπως FillDisk.com μπορεί να έχει απεριόριστο αποθηκευτικό χώρο στη συσκευή του χρήστη.
Ο εμπειρογνώμονας έχει αναφέρει την ευπάθεια στο Google, την Apple, την Microsoft και την Όπερα και ελπίζει στην άμεση αντιμετώπιση αυτού του ζητήματος.
Αποδεικνύεται ότι το Firefox δεν επηρεάζεται, διότι εφαρμογή του Mozilla “localStorage¨είναι αρκετά έξυπνη.
Εδώ είναι το POC σε βίντεο που δημοσιεύθηκε από τον Aboukhadijeh:
