Schwachstelle in Browsern – Webseiten können Festplatten komplett füllen

FillDisk demonstriert Schwachstelle in Browsern

Cookies (engl. Kekse) sind kleine Dateien, etwa 4 KB groß, mit denen Webseiten Informationen auf den Computern der Nutzer ablegen können. Das bietet zum Beispiel die Möglichkeit, Nutzer bei ihrem nächsten Besuch wiederzuerkennen. Cookies werden normalerweise von den Nutzern unbemerkt abgelegt und ihre Speicherdauer ist meist zeitlich beschränkt. Die Web Storage-Technik wurde entwickelt, damit Internetseiten noch größere Mengen Daten speichern können. Bei der lokalen Speicherung legt die besuchte Webseite Daten auf den Nutzercomputer, die auch nach Beendigung des Besuchs auf dem Computer verbleiben. Die Technik wird von allen modernen Browsern unterstützt.

Normalerweise ist die Größe dieser Datenmenge beschränkt. So lässt beispielsweise Google Chrome eine Speichermange von maximal 2,5 MB pro Domain zu, Mozilla Firefox und Opera höchstens 5 MB und der Internet Explorer bis zu 10 MB pro Webpräsenz.

Der Entwickler Feross Aboukhadijeh hat an einem einfachen Beispiel gezeigt, wie dieses Speicherlimit umgangen werden kann. Er erstellte unterhalb einer Domain (beispiel.de) zahlreiche Subdomains (a1.beispiel.de, a2.beispiel.de, a3.beispiel.de,…) und teilte jeder dieser Domains Speicherplatz zu. Er kodierte die miteinander verbunden Webseiten so, dass ihnen insgesamt praktisch unbegrenzt Speicherplatz zugeteilt wird. Besucht ein Nutzer diese Internetseite, beginnt das Script sofort damit, seine Festplatte zu füllen bis sie voll ist.

Doch nicht jeder Browser lässt sich so überlisten. Mozilla Firefox lässt dank seiner localStorage-Einstellungen dennoch nicht mehr als 5 MB Speicherkapazität zu. In Google Chrome, Apple Safari, Opera und dem Internet Explorer kann das Speicherlimit allerdings auf diese Art umgangen werden. Das gilt sowohl für Windows- als auch Apple-Betriebssysteme.

Der Hacker erstellte eine Internetseite, auf der er die Funktion demonstriert (FillDisk.com). Von ihrem Besuch ist allerdings abzuraten. Die Webseite füllt die Festplatte des Computers innerhalb weniger Sekunden mit Katzen-Bildern. Allerdings hat der Entwickler auch einen Button eingebaut, mit dem der Speicherplatz wieder freigegeben werden kann. Feross Aboukhadijeh veröffentlichte außerdem den Quellcode auf dem Hosting-Dienst GitHub. Er hat den Bug (engl. Käfer), also den Software-Fehler, bereits Google, Apple, Microsoft und Opera gemeldet.

Weitere Informationen
Sicherheit im Internet
Gratis Anti-Virus

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
EU-Energielabel – verbesserte Transparenz bei Smartphones

EU-Energielabel

verbesserte Transparenz bei Smartphones

Um Verbrauchern mehr Transparenz zu bieten und gleichzeitig die Langlebigkeit von Smartphones und Tablets zu steigern, wird ab dem 20. Juni dieses Jahres eine neue EU-Vorgabe gültig. Dann wird das sogenannte EPREL-Label für alle Geräte zur Pflicht, die in der EU verkauft werden. […]

Neue Regelung ab Juni – Stromanbieterwechsel innerhalb von 24 Stunden

Neue Regelung ab Juni

Stromanbieterwechsel innerhalb von 24 Stunden

Verbraucher haben bald den Anspruch, ihren Stromanbieter werktags innerhalb von 24h zu wechseln. Die neue Regelung, mit der eine EU-Richtlinie umgesetzt wird, greift ab dem 6. Juni dieses Jahres. Dadurch soll unter anderem der Wettbewerb gestärkt werden. […]

Support-Ende für Windows 10 – BSI empfiehlt Wechsel des Betriebssystems

Support-Ende für Windows 10

BSI empfiehlt Wechsel des Betriebssystems

Im Herbst dieses Jahres ist Schluss mit dem Support für Windows 10. Aus diesem Grund empfiehlt das BSI dringend ein Upgrade auf Windows 11 oder den Wechsel zu einem anderen Betriebssystem. Denn die Weiternutzung der nicht mehr unterstützten Version kann zum echten Sicherheitsrisiko werden. […]

Apple überholt Samsung - erstmals Marktführer bei Smartphones

Apple überholt Samsung

Erstmals Marktführer bei Smartphones

Apple sichert sich im ersten Quartal 2025 erstmals den Spitzenplatz im globalen Smartphone-Markt – mit 19 % Marktanteil vor Samsung. Wachstum in Schwellenländern und das neue iPhone 16e treiben die Verkäufe an, während wirtschaftliche Unsicherheiten den Markt vor Herausforderungen stellen. […]

Zwischen Anspruch und Realität - die digitale Dienstleistungsfreiheit der EU

Zwischen Anspruch und Realität

Die digitale Dienstleistungsfreiheit der EU

Die europäische Dienstleistungsfreiheit ist ein zentrales Versprechen des Binnenmarkts – doch im digitalen Raum gerät sie zunehmend unter Druck. Trotz einheitlicher EU-Vorgaben sehen sich Online-Dienstleister mit immer mehr nationalen Sonderregelungen konfrontiert. Das Spannungsverhältnis zwischen europäischer Freiheit und nationaler Regulierung wirft grundsätzliche Fragen auf – rechtlich wie politisch. […]