Lổ hổng HTML 5 cho phép website tải đầy dữ liệu vào ổ cứng của bạn

Romano · 03-01-2013

Một sinh viên ngành khoa học máy tính tại trường Stanford (Mỹ) có tên Feross Aboukhadijeh mới đây vừa khám phá ra một lỗ hổng trong trình duyệt Chrome, Safari (bản trên iOS và máy tính), Opera, và IE có thể tạo điều kiện để một website nào đó đưa rất nhiều dữ liệu (của chính trang web đó) vào máy tính người dùng mà không cần được sự cho phép. Theo sinh viên nay, lỗ hổng có thể cho phép website ghi tới 1GB dữ liệu trong 16 giây vào chiếc MacBook Pro Retina được trang bị ổ SSD.

Aboukhadijeh đã demo (trình diễn thử) lỗ hổng này bằng website có địa chỉ FillDisk.com. Theo Aboukhadijeh, khi người dùng truy cập vào website FillDisk.com, trang này sẽ tải rất nhiều dữ liệu vào ổ cứng trên máy tính của họ cho tới khi ổ cứng hết dung lượng mới ngừng lại.

Cũng theo cậu sinh viên Stanford, lỗ hổng này nằm ở cách các trình duyệt thi hành chuẩn HTML5 Web Storage, một chuẩn cho phép các website lưu trữ dữ liệu của nó vào ổ cứng những người dùng khi họ truy cập vào trang web đó. Chức năng này tỏ ra rất tiện lợi trong nhiều trường hợp. Bởi khi người dùng ghé thăm các website hỗ trợ chuẩn này, dữ liệu sẽ được tự động backup vào máy. Nếu trình duyệt bị crash khi đang duyệt web, những dữ liệu mà người dùng đang làm việc với website đó không bị mất. Tuy nhiên, điểm yếu của nó chính là nguyên nhân của lỗ hổng trên.

Các tổ chức tạo ra chuẩn này cũng đã từng khuyến cáo các nhà phát triển trình duyệt nên cẩn thận để các website không lạm dụng tính năng này nhằm tạo ra những trường hợp như FillDisk.com ở trên. Trong thực tế, các trình duyệt như IE, Chrome và Safari cũng giới hạn dung lượng dữ liệu mà một website được phép tải về máy người dùng, tuy nhiên, việc giới hạn này bị hạn chế ở phần tên miền và không được triệt để, dẫn tới nguy cơ đã nói ở trên.

Theo Aboukhadijeh, chỉ có trình duyệt Firefox giới hạn tốt lượng dữ liệu mà website được tải về máy và người dùng Firefox không gặp bất kì nguy cơ nào với lỗ hổng này.

Bên cạnh việc tải đầy dữ liệu vào máy tính, lỗ hổng này cũng khiến cho một số phiên bản Chrome bị crash. Mặc dù lỗ hổng này theo lý thuyết không gây ra bất kì nguy hại gì cho người dùng, bởi hacker không thể đánh cắp dữ liệu trên máy, nhưng việc máy tính của bạn bị tải đầy những dữ liệu không cần thiết cũng gây ra sự khó chịu không nhỏ. Hiện tại, Google hay Microsoft và Apple (các nhà phát triển các trình duyệt bị ảnh hưởng) chưa có bình luận gì về lỗ hổng trên.
vnn

Tin nóng nhất 24h qua	Tin nóng nhất 3 ngày qua	Tin nóng nhất 7 ngày qua
Tin nóng nhất 30 ngày qua	Albums	Total Videos Online

Tranh luận sôi nổi nhất 7 ngày qua	Tranh luận sôi nổi nhất 14 ngày qua	Tranh luận sôi nổi nhất 30 ngày qua
10.000 Tin mới nhất	Tin tức Hoa Kỳ	Tin tức Công nghệ

Super News	School Cooking Traveling Portal	Enter Portal
Series Shows and Movies Online	SERIES ONLINE 1	SERIES ONLINE 2

HOME	Breaking News	VN News	VietOversea	World News	Business News	Other News	History
Car News	Computer News	Game News	USA News	Mobile News	Music News	Movies News	Sport News
DEM	GOP	Phim Bộ	Phim Lẻ	Ca Nhạc	Thơ Ca	Help Me	Sport Live
Stranger Stories	Comedy Stories	Cooking Chat	Nice Pictures	Fashion	School	Travelling	Funny Videos
NEWS 24h	HOT 3 Days	NEWS 3 Days	HOT 7 Days	NEWS 7 Days	HOT 30 Days	NEWS 30 Days	Member News