Non aprite quella pagina. La stringa da non inserire mai su Chrome

Servono solo 16 caratteri per mandare in crash Google Chrome e tutte le tab aperte in esso. Ecco quali sono, ma usateli con discrezione
di Nino Grasso pubblicata il 21 Settembre 2015, alle 13:15 nel canale ProgrammiCon una stringa di pochissimi caratteri Google Chrome entra nel pallone. Il browser più diffuso al mondo è affetto da un vistoso bug che ricorda con le dovute proporzioni un problema analogo delle scorse versioni di iOS. Bastano infatti solamente poco più di 10 caratteri per mandare in crash il browser di Google e tutte le tab aperte. Il problema insorge inserendo la stringa http://a/%%30%30 nel campo degli indirizzi, ma anche spostando il cursore sullo stesso URL si manda facilmente in crash l'applicazione (noi lo abbiamo lasciato in formato puramente testuale per ovvi motivi).
Il problema è stato sollevato dall'utente @thenickde su Twitter nel corso del fine settimana, e lo sfruttamento della vulnerabilità è ancora possibile anche sull'ultima versione di Chrome ad oggi rilasciata pubblicamente, la 45.0.2454.93. Il browser ne è affetto in tutte le versioni disponibili su desktop, sia su Windows 10 che su OS X El Capitan o Chrome OS. Anche Opera, anch'esso basato su Chromium 45, va in crash con la stringa di testo che abbiamo riportato.
Il crash sembrerebbe presentarsi anche con le stringhe http://a/%%300 e file:///%%300. Quello che rende il bug particolare è che scatena una fatal exception (SIGTRAP), e non un errore tipico causato da fonti simili. Questo significa che inserendo il codice viene coinvolta una parte dell'eseguibile che gli sviluppatori non pensavano potesse essere raggiunta.
Spiega quello che succede il sito britannico TheRegister: "Il testo %%300 alla fine dell'URL viene convertito in %00 (0x30 è il codice ASCII di 0. Il testo %%300 diventa la seguente stringa di caratteri: il % originale, lo 0 convertito, e lo 0 originale. Combinati diventano %00. Questo inserisce un byte NULL alla fine dell'indirizzo web". Da qui si innesca tutta una serie di operazioni, con il browser che cerca di processare un URL ritenuto non valido e provocando infine l'arresto anomalo della tab e di tutto il software.
Google è al corrente del problema e sta cercando di scoprire un modo con cui risolverlo: "Sembra che il problema sia in una parte di codice molto vecchia", si legge sulla pagina di supporto. "Nella build di debug, viene effettuato un DCHECK su un URL invalido nel database GURL, all'interno di un codice nella Cronologia". Non sembra che la vulnerabilità comprometta la sicurezza del browser comunque, anche se ancora viene contrassegnato come tale per la massima prudenza. Tutte le versioni desktop di Chrome sono coinvolte nel bug, che non sembra invece riguardare le varianti disponibili su mobile.
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoby Nino, già. Clickbait ennesimo
No no crasha eccome, appena provato qui in ufficio su vari pc
"Vistoso" in che senso?
Non si deve mai scrivere "google" in google perchè rompi internet.
Non si deve mai scrivere "google" in google perchè rompi internet.
OT
non ricordo la citazione mi rinfreschi la memoria?
non ricordo la citazione mi rinfreschi la memoria?
IT Crowd.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".