北京时间3月4日早间消息，HTML5编程语言的一个最新漏洞今天被发现，它允许网站利用数GB垃圾数据对用户展开轰炸，甚至会在短时间内将硬盘塞满。多款主流浏览器均会受此影响。

一位名叫菲罗斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)的开发者率先发现了这一漏洞，他表示，多数主流网络浏览器均会受到影响，包括苹果Safari、谷歌Chrome、微软IE和Opera。唯一能够阻止数据大量加载的是Mozilla的火狐浏览器，该产品的数据存储上限为5MB。

该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数，但很多都支持用户自定义限制，且至少会在用户电脑上存储2.5MB数据。

阿伯克哈迪杰哈发现了一个绕过数据上限的方法，它创建了多个与用户访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况，所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站，该漏洞便可向受影响的电脑加载海量数据。

在测试这一漏洞的过程中，阿伯克哈迪杰哈每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。他指出，Chrome等32位浏览器可能会在硬盘塞满前崩溃。

“一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈说。

阿伯克哈迪杰哈已经发布一组代码来利用该漏洞，并创建了一个名为Filldisk的专用网站来凸显该漏洞的危害。他已经将此事报告给受影响的浏览器开发商，但尚未发现恶意行为的大面积爆发。

【编辑推荐】

1. HTML5增强网络安全 同时带来新安全漏洞
2. 专家称HTML5安全问题给企业带来新挑战
3. HTML5安全性：HTML5能否替代Flash 增强Web安全性
4. HTML5安全攻防详析之八：Web Socket攻击
5. HTML5安全攻防详析之完结篇：HTML5对安全的改进

　　推荐阅读

　　Java最新版本又现漏洞

近日，波兰安全公司Security Explorations发表报告称，他们在Java中发现了两个新的漏洞”issue 54″和”issue 55″,两个漏洞结合起来，可以完美绕过Java的沙盒防御机制。该公司研究员Adam告诉记>>>详细阅读

本文标题：HTML5最新漏洞：用户硬盘或被垃圾数据塞满

地址：http://www.17bianji.com/anquan/buding/22139.html

 1/2    1