В HTML5 обнаружена серьезная уязвимость. С ее помощью злоумышленники могут занять жесткий диск под завязку мусорными данными. Уязвимость демонстрируется на сайте, названном Filldisk.
Все браузеры без исключения подвержены данной уязвимости. Некоторое исключение представляет собой Firefox, который из-за жестких ограничений может нивелировать негативный эффект уязвимости, а также старые 32-битные программы, которые скорее закроются, чем будут загружать диск данными.
Уязвимость связана с тем, как HTML5 использует локальные хранилища данных. Так как все браузеры имеют буферы данных (как правило, устанавливаемые пользователем), появляется возможность создавать связанные «временные» сайты, каждый из которых получает стандартный размер буфера на жестком диске, но они не видны пользователю. В документации HTML5 указывается, что данные таких сайтов должны быть ограничены размером буфера, но разработчики всех браузеров, за исключением Firefox, игнорируют данную рекомендацию.
На практике вредоносный сайт может быть использован для забивания винчестера в течение нескольких минут. Исследователь, обнаруживший уязвимость, смог заполнить 1 Гбайт дискового пространства за 16 секунд.
