HTML5に新たな脆弱性 ―ストレージの空き容量がゼロに

AppleInsiderは4日、米スタンフォード大学の学生であり開発者である Feross Aboukhadijeh氏の報告として、HTML5にユーザーPCのストレージへ外部から大量にデータを送り込むことが可能になる脆弱性が見つかったと伝えています。

 html5

記事によると、このバグはChromeやSafari・Opera といった各ブラウザに共通するもの(ただしFirefoxは対策済みとのこと)で、これを悪用すれば、細工が施されたWeb ページにアクセスするだけでHDDやSSDといったローカルストレージが満杯にされてしまう危険性があるとのことです 。

 

もう少し具体的に触れますと、HTML5 には2 ~ 10 MB程度 のデータをローカルストレージに保存するための Web ストレージ API (ソフトウェアに第三者が提供するサービス機能を組み込む際に使われるプログラムの部品) が用意されています。

この APIを使用するにあたっては、ウェブブラウザ側で書き込み可能なデータの総量を制限するように指定されており、Google Chrome では 1 ドメイン(例: filldisk.com)あたり 2.5 MB、Firefox や Opera では 5 MB、Internet Explorer では 10 MB といったように制限がかけられています。

しかし、「one.filldisk.com」「two.filldisk.com」「three.filldisk.com」 のように許可されたドメインの下にサブドメインを作った場合、この制限をすり抜けてユーザーのPCへ大量のデータを送り込むことが可能になるとのことです。

Aboukhadijeh氏によると、既にこの脆弱性に関する詳細と対策コードを各ブラウザの製作元に送付しており、現時点では具体的な被害についても報告はないとのことですが、身元不審なウェブサイトにアクセスする際は、これまで以上に十分な注意が必要です。

[AppleInsider]

ソーシャルシェア

このニュースでディスカッション
  • コメントを投稿する際には「コメントガイドライン」を必ずご覧ください
  • コメントを投稿した際には、コメント機能利用規約(ガイドライン)に同意したものとみなされます
  • 主要ニュースサイトなどの「許可サイト」以外のURLを含む投稿はコメントが保留されます