Un link per i crash a comando

Nessun pericolo per gli utenti, salvo la potenziale perdita delle pagine aperte e del lavoro in corso nel browser, ma indubbi fastidi, tra freeze di schede o dell’intero browser e riavvii forzati: basta una visita a crashsafari.com e all’omologo crashchrome.com .

I due siti, come tanti siti in passato, non hanno che la funzione di mandare in crash il browser: fanno leva sull’API HTML5 history.pushState() e con poche righe di codice JavaScript innescano la creazione di una infinità di record nella cronologia. A seconda della dotazione hardware del proprio dispositivo, il crash del sistema operativo è più o meno probabile: il bug interessa Safari su iOS, con probabile reset, e su OS X, ma anche Chrome su Android, iOS, OS X e Windows, mentre Firefox per Windows e Android avvertono l’utente di uno script problematico. Edge sembra essere l’unico browser a schivare il problema .

Noto da tempo , segnala il ricercatore di sicurezza Mikko Hypponen, il bug è stato sfruttato con i due siti fin dall’aprile 2015, quando lo sviluppatore Matthew Bryant ha registrato i domini e li ha pubblicizzati attraverso il proprio account Twitter. È però solo con la visibilità garantita da un post dei giorni scorsi su Hacker News , rilanciato dai media, che i due domini hanno iniziato ad essere oggetto di condivisione, mascherati dagli URL abbreviati.

Twitter, per scongiurare l’ ormai ricorrente gioco dei crash telecomandati, che in questa occasione ha reso crashsafari.com estremamente popolare , ha classificato gli URL come non sicuri, impedendone la condivisione. Apple ha comunicato di essere al lavoro per risolvere il problema, mentre Google e Mozilla non hanno ancora rilasciato commenti riguardo all’intenzione di porre rimedio ad un bug che, pur non comportando rischi per la sicurezza dell’utente, è al momento baciato dalla viralità.

Gaia Bottà