Comment faire crasher un pc avec une URL – déni de service

  1. Accueil
  2. Actualités
  3. Comment faire crasher un pc avec une URL – déni de service

Vous voulez faire une blague à vos amis ? (j’ai pas dit quelle serait forcément drôle)

Ce qui suit était un exploit JavaScript HTML (merci à Patak pour la correction) fonctionnant avec tous les navigateurs.

EDIT : celui-ci est patché dorénavant. Il ne fonctionne donc plus, mais ne quittez pas votre lecture car vous pourriez tout de même apprendre quelque chose !

Le code HTML utilisait une boucle infinie à travers des iframes (http://pastebin.com/2ip1K2sc) ouvrant le client de messagerie par défaut via le schéma d’URI mailto:<adresse e-mail>.

mailto permet de créer un lien spécial dans une page web qui ouvre le service de messagerie par défaut du PC pour envoyer un e-mail à l’adresse mentionnée (plus d’infos sur mailto).

Lorsqu’un utilisateur cliquait sur une page web malveillant qui faisait boucler ces iframes de mailto, le client de messagerie s’ouvrait en boucle… Et sauf action très rapide pour le terminer et quitter la page, le pc finissait par être à court de RAM et ne répondait plus. Un peu comme si vous aviez 571628 fois votre navigateur web ou n’importe quel programme.

Vous pouviez donc faire crasher un pc en envoyant un lien piégé.

Faire crasher un PC avec une URL : Est-ce dangereux ?

Non, aucune donnée n’était volée, ni supprimée ni quoi que ce soit d’autre.

Au pire il fallait redémarrer le PC et tout rentrait dans l’ordre, au mieux il fallait ouvrir le gestionnaire des tâches de Windows et tuer le processus qui s’ouvrait.

Thunderbird, mon client de messagerie par défaut a utilisé près de 1 Go de RAM en l’espace de quelques dizaines de secondes. Notez que n’importe quel autre client s’ouvrait, comme Outlook Express, si vous n’avez pas Thunderbird.

Visuellement, des fenêtres s’ouvraient à l’infini et finissaient par remplir votre écran tant que le processus n’est pas tué:

faire crasher un pc

Faire crasher un pc en utilisant une boucle infinie de “mailto:”

EDIT:

Malheureusement je n’ai plus le lien de la preuve de concept. Je n’avais pas osé le donné à l’époque, mais vous le retrouverez peut-être avec “mailto popup iframe” dans Google…

Plus d’informations : Pourquoi votre PC est lent et comment l’accélérer.

11 Commentaires
Cliquez ici pour ajouter un commentaire

Laisser un commentaire

Menu