Menú principal

jueves, 28 de enero de 2016

El hipervínculo que crashea Safari, Chrome, iOS & OS X

Existe una vulnerabilidad en Safari, tanto en las versiones de iOS como en las de Mac, con la que un atacante puede hacer que nuestro navegador crashee, simplemente haciendo que visitemos un recurso web. La vulnerabilidad reside en una mala gestión por parte del navegador de una función que interactúa con la barra de direcciones URL. Ya existe un sitio web como crashsafari.com, el cual realiza la prueba de concepto y provoca la caída de los navegadores Safari y Google Chrome

Se  ha puesto de moda enviar el enlace vía WhatsApp o Twitter con el fin de gastar una broma a los amigos. ¿Qué hay detrás de esto? El código es Javascript y es bastante sencillo. Aprovechando la función history.pushState se provoca la anexión a la dirección URL, sin modificar el contenido que se visualiza.

Figura 1: Código que provoca el crasheo en Safari

El tamaño que se puede conseguir en datos es de 25 GB en memoria, lo cual es una barbaridad. Teniendo en cuenta que cada entrada del historial puede ser alrededor de 250 KB, y que se hace más de 100.000 iteraciones, el tamaño es descomunal. Es recomendable de matar el proceso mediante kill -9 y volver a la normalidad.

En la mayoría de los casos esto provocará una caída del navegador, aunque en otros casos el navegador se quedará "tostado" y consumiendo una alta carga de CPU. Incluso, en algunos terminales Android o iOS este bug provoca que el dispositivo se quede inestable y bloqueado, por lo que haya que reiniciarlos con el fin de recuperar la normalidad. A día de hoy no se conoce parche para este fallo incómodo.

1 comentario:

  1. El mismo error crachea el crhome en androit el que esta nativo en el google now

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares