[Перевод] CraSSh: ломаем все современные браузеры вычислениями в CSS
Не хочу читать эту техническую болтовню. Просто повали уже мой браузер.
CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.
CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:
На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
На движке Gecko — Firefox и его форки, такие как Tor Browser.
Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)
Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).
Читать дальше →
Что такое CraSSh
CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.
CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:
На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
На движке Gecko — Firefox и его форки, такие как Tor Browser.
Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)
Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Fuzzing-тестирование. Практическое применение
- Подводные грабли экспертных утилит при работе с инцидентами
- Attaque a-la russe: атака с помощью промт-инъекций русскоязычных моделей семейства Saiga2
- Рейтинг онлайн-кинотеатров в России за первый квартал 2024 года
- Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей
- Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере
- [Перевод] Настройка Kerberos аутентификации в OpenAM
- Исследование веб-приложений с помощью утилиты Ffuf
- Кирилл Лейцихович: «Исследования: проще лежать в гробу, чем вести презентацию»
- Егор Некрасов: 3 отмазки, которые мешают начать развивать личный бренд. И как я с ними справился