Vous voulez faire une blague à vos amis ?
Ce qui suit est un exploit JavaScript HTML (merci à Patak pour la correction) fonctionnant avec tous les navigateurs et non patché pour le moment.
Le code HTML utilise une boucle infinie à travers des iframes (http://pastebin.com/2ip1K2sc) ouvrant le client de messagerie par défaut via le schéma d’URI mailto:<adresse e-mail> (plus d’infos sur mailto).
Lorsqu’un utilisateur clique sur le lien, le code HTML s’enclenche et si le processus du client de messagerie n’est pas tué à temps, le pc finira par être à court de RAM et ne répondra plus.
Vous pouvez donc faire crasher un pc en cliquant sur ce lien, ou même en masquant ce lien original avec une redirection.
Est-ce dangereux ?
Non, il s’agit selon son créateur d’une preuve de concept démontrant que l’exploit fonctionne bel et bien.
Au pire il faudra redémarrer le PC et tout rentrera dans l’ordre, au mieux il faut ouvrir le gestionnaire des tâches de Windows et tuer le processus qui s’ouvrira.
Thunderbird, mon client de messagerie par défaut a utilisé près de 1 Go de RAM en l’espace de quelques dizaines de secondes. Notez que n’importe quel autre client s’ouvrira, comme par exemple Outlook Express, si vous n’avez pas Thunderbird.
En fait des fenêtres s’ouvrent à l’infini et finissent par remplir votre écran tant que le processus n’est pas tué:
Faire crasher un pc en utilisant une boucle infinie de « mailto: »
Si ce lien vous intéresse, vous le trouverez directement avec votre moteur de recherche préféré, il s’agit d’une preuve de concept « mailto popup ».
Attention, si vous cliquez vous savez à quoi vous attendre !
0 commentaires:
Enregistrer un commentaire