Thứ Sáu, 1 tháng 3, 2013
Một sinh viên ngành khoa học máy tính tại trường Stanford (Mỹ) có tên Feross Aboukhadijeh mới đây vừa khám phá ra một lỗ hổng trong trình duyệt Chrome, Safari (bản trên iOS và máy tính), Opera, và IE có thể tạo điều kiện để một website nào đó đưa rất nhiều dữ liệu (của chính trang web đó) vào máy tính người dùng mà không cần được sự cho phép. Theo sinh viên nay, lỗ hổng có thể cho phép website ghi tới 1GB dữ liệu trong 16 giây vào chiếc MacBook Pro Retina được trang bị ổ SSD.
Aboukhadijeh
đã demo (trình diễn thử) lỗ hổng này bằng website có địa chỉ
FillDisk.com. Theo Aboukhadijeh, khi người dùng truy cập vào website
FillDisk.com, trang này sẽ tải rất nhiều dữ liệu vào ổ cứng trên máy
tính của họ cho tới khi ổ cứng hết dung lượng mới ngừng lại.
Cũng theo
cậu sinh viên Stanford, lỗ hổng này nằm ở cách các trình duyệt thi hành
chuẩn HTML5 Web Storage, một chuẩn cho phép các website lưu trữ dữ liệu
của nó vào ổ cứng những người dùng khi họ truy cập vào trang web đó.
Chức năng này tỏ ra rất tiện lợi trong nhiều trường hợp. Bởi khi người
dùng ghé thăm các website hỗ trợ chuẩn này, dữ liệu sẽ được tự động
backup vào máy. Nếu trình duyệt bị crash khi đang duyệt web, những dữ
liệu mà người dùng đang làm việc với website đó không bị mất. Tuy nhiên,
điểm yếu của nó chính là nguyên nhân của lỗ hổng trên.
Các tổ chức
tạo ra chuẩn này cũng đã từng khuyến cáo các nhà phát triển trình duyệt
nên cẩn thận để các website không lạm dụng tính năng này nhằm tạo ra
những trường hợp như FillDisk.com ở trên. Trong thực tế, các trình duyệt
như IE, Chrome và Safari cũng giới hạn dung lượng dữ liệu mà một
website được phép tải về máy người dùng, tuy nhiên, việc giới hạn này bị
hạn chế ở phần tên miền và không được triệt để, dẫn tới nguy cơ đã nói ở
trên.
Theo
Aboukhadijeh, chỉ có trình duyệt Firefox giới hạn tốt lượng dữ liệu mà
website được tải về máy và người dùng Firefox không gặp bất kì nguy cơ
nào với lỗ hổng này.
Bên cạnh
việc tải đầy dữ liệu vào máy tính, lỗ hổng này cũng khiến cho một số
phiên bản Chrome bị crash. Mặc dù lỗ hổng này theo lý thuyết không gây
ra bất kì nguy hại gì cho người dùng, bởi hacker không thể đánh cắp dữ
liệu trên máy, nhưng việc máy tính của bạn bị tải đầy những dữ liệu
không cần thiết cũng gây ra sự khó chịu không nhỏ. Hiện tại, Google hay
Microsoft và Apple (các nhà phát triển các trình duyệt bị ảnh hưởng)
chưa có bình luận gì về lỗ hổng trên.
