Gaia Bottà

Un link per i crash a comando

Vecchio bug, nuova ondata virale: basta un link per far vacillare Safari, Chrome e Firefox, e gli utenti non rinunciano a sfruttarlo

Roma - Nessun pericolo per gli utenti, salvo la potenziale perdita delle pagine aperte e del lavoro in corso nel browser, ma indubbi fastidi, tra freeze di schede o dell'intero browser e riavvii forzati: basta una visita a crashsafari.com e all'omologo crashchrome.com.


I due siti, come tanti siti in passato, non hanno che la funzione di mandare in crash il browser: fanno leva sull'API HTML5 history.pushState() e con poche righe di codice JavaScript innescano la creazione di una infinità di record nella cronologia. A seconda della dotazione hardware del proprio dispositivo, il crash del sistema operativo è più o meno probabile: il bug interessa Safari su iOS, con probabile reset, e su OS X, ma anche Chrome su Android, iOS, OS X e Windows, mentre Firefox per Windows e Android avvertono l'utente di uno script problematico. Edge sembra essere l'unico browser a schivare il problema.

Noto da tempo, segnala il ricercatore di sicurezza Mikko Hypponen, il bug è stato sfruttato con i due siti fin dall'aprile 2015, quando lo sviluppatore Matthew Bryant ha registrato i domini e li ha pubblicizzati attraverso il proprio account Twitter. È però solo con la visibilità garantita da un post dei giorni scorsi su Hacker News, rilanciato dai media, che i due domini hanno iniziato ad essere oggetto di condivisione, mascherati dagli URL abbreviati.


Twitter, per scongiurare l'ormai ricorrente gioco dei crash telecomandati, che in questa occasione ha reso crashsafari.com estremamente popolare, ha classificato gli URL come non sicuri, impedendone la condivisione. Apple ha comunicato di essere al lavoro per risolvere il problema, mentre Google e Mozilla non hanno ancora rilasciato commenti riguardo all'intenzione di porre rimedio ad un bug che, pur non comportando rischi per la sicurezza dell'utente, è al momento baciato dalla viralità.

Gaia Bottà
Notizie collegate
  • SicurezzaChrome, un URL per il crashBasta che il link ospiti una certa combinazione di caratteri per determinare la brusca chiusura del browser. Google sta lavorando per risolvere il problema mentre c'è chi ha trasformato il bug in un gioco
  • SicurezzaSkype, crash a ripetizione in 8 caratteriIl client di messaggistica non tollera una semplice stringa di caratteri: la visualizzazione innesca infiniti riavvi - UPDATE: Microsoft ha messo a disposizione versioni aggiornate del software
  • SicurezzaiPhone non digerisce l'araboIl sistema di notifiche di iOS non tollera una certa stringa di caratteri: mentre infuria la battaglia dei crash a comando, Cupertino sta lavorando a una soluzione
9 Commenti alla Notizia Un link per i crash a comando
Ordina
  • di chi era questo slogan?
    lel Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Ma... pur essendo consapevole che IE non è un browser... non è citato nell'articolo!
    Un refuso oppure per edge intendevano anche i vari precursori?
    non+autenticato
  • - Scritto da: Il Reverendo
    > Ma... pur essendo consapevole che IE non è un
    > browser... non è citato nell'articolo!
    > Un refuso oppure per edge intendevano anche i
    > vari precursori?

    Su firefox si apre la scritta che uno script sta occupando troppo, lo ferma e chiede se ucciderlo.
    non+autenticato
  • - Scritto da: Passante
    > - Scritto da: Il Reverendo
    > > Ma... pur essendo consapevole che IE non è un
    > > browser... non è citato nell'articolo!
    > > Un refuso oppure per edge intendevano anche i
    > > vari precursori?
    >
    > Su firefox si apre la scritta che uno script sta
    > occupando troppo, lo ferma e chiede se
    > ucciderlo.

    Il comportamento corretto è questo di F.F.
    "Schivare" il problema come fa Edge vuol dire prendere decisione di ignorare la cosa senza manco avvertire, mentre per altri browser che vanno in crisi il test sull'avvicinarsi della crisi, ove possibile, andrebbe fatto.
    Si tratta comunque di loop applicativi.
    Non capisco come per lo stress causato da una funzione applicativa, che teoricamente potrebbe essere voluto, si possa incolpare un browser, o addirittura pensare a patches di sistema.
  • - Scritto da: rockroll
    > - Scritto da: Passante
    > > - Scritto da: Il Reverendo
    > > > Ma... pur essendo consapevole che IE non è
    > un
    > > > browser... non è citato nell'articolo!
    > > > Un refuso oppure per edge intendevano
    > anche
    > i
    > > > vari precursori?
    > >
    > > Su firefox si apre la scritta che uno script sta
    > > occupando troppo, lo ferma e chiede se
    > > ucciderlo.
    >
    > Il comportamento corretto è questo di F.F.

    Esiste solo un browser! (cit.)

    > "Schivare" il problema come fa Edge vuol dire
    > prendere decisione di ignorare la cosa senza
    > manco avvertire,

    Tipico comportamento ipocrita di chi e' abituato a nascondere la polvere sotto il tappeto e di chiamare "ficiur" delle anomalie.

    > mentre per altri browser che
    > vanno in crisi il test sull'avvicinarsi della
    > crisi, ove possibile, andrebbe fatto.
    >
    > Si tratta comunque di loop applicativi.
    > Non capisco come per lo stress causato da una
    > funzione applicativa, che teoricamente potrebbe
    > essere voluto, si possa incolpare un browser, o
    > addirittura pensare a patches di
    > sistema.

    Ripeto: esiste solo un browser!
  • Mosaic!
    Lanf
    143
  • - Scritto da: Lanf
    > Mosaic!

    Scherzi? Lynx.
    non+autenticato
  • Senza volerlo hai detto una cosa giusta. Beata ignoranza:

    "Financial institutions have noted that the Lynx browser is particularly suitable for online banking"

    http://news.netcraft.com/archives/2009/04/01/delug...
    non+autenticato
  • - Scritto da: Passante
    > Su firefox si apre la scritta che uno script sta
    > occupando troppo, lo ferma e chiede se ucciderlo.

    Ho fatto anche io la prova e credevo fosse finita lì, ma mi sono accorto di un piccolo dettaglio: il file places.sqlite all'interno del profilo è cresciuto fino a 400mb!

    Soluzione:
    - cancellare tutta la cronologia (o se non si desidera farlo, cerca --> crashsafari.com --> selezionare tutto, CANC --> attendere)
    - a questo punto usare sqlite.exe o una estensione ed eseguire il VACUUM.
    non+autenticato