Исследователь представил инструмент для загрузки на компьютер жертвы гигабайтов нежелательных данных.
Web-разработчик Феросс Абукадижей (Feross Aboukhadijeh) представил простой в исполнении эксплоит, который позволяет сайту тайно загружать на компьютеры пользователей гигабайты мусорных данных.
Разработчик заявил, что эксплоит под названием FillDisk.com загружает данные на жесткий диск компьютера жертвы без взаимодействия с самим пользователем и работает с браузерами Google Chrome, Microsoft Internet Explorer и Apple Safari.
FillDisk.com использует стандарты web-хранения, включая спецификации протокола HTML5. Эти стандарты позволяют разработчикам сделать использование сайтов проще, поскольку сохранение данных осуществляется напрямую на жесткий диск посетителя. Такая функция может оказаться полезной, если пользователю приходится заполнять длинные формы. В том случае, если браузер отключился до того, как форма была полностью заполнена, данные, которые были введены ранее, будут доступны после следующего посещения сайта.
Разработчики стандарта специально предупреждают, что создатели сайтов не должны злоупотреблять подобной функцией и ограничивать количество данных, которые могут быть записаны на жесткий диск пользователя.
Отметим, что браузеры Chrome, IE и Safari ограничивают это количество, однако это ограничение находится на поддоменах, а не на основном домене, которому они принадлежат. Эксплоит FillDisk.com создает поддомены, к примеру, 1.filldisk.com или 2.filldisk.com, и загружает на каждый из них максимально-дозволенное количество данных.
Среди всех протестированных разработчиком браузеров, блокировать загрузку может только Firefox.
По словам создателя, эксплоит устроен таким образом, что не может скомпрометировать данные пользователя или загрузить какое-либо вредоносное ПО. Тем не менее, «бомбардировка» данными может вызвать аварийное отключение некоторых версий браузера Google Chrome.
Источник: securitylab.ru.
| 
