Det er ikke nødvendigt med store botnet, der kontrollerer millioner af computere, hvis man vil have en webside til at gå offline med et denial-of-service-angreb (DoS-angreb).
Faktisk kan en hacker nøjes med én computer, én almindelig internetforbindelse og nogle små filer, der vil sende en webserver på så meget overarbejde, at den ikke kan drive hjemmesiden.
Sådan lød det et par dage før nytår fra tyske sikkerhedseksperter, og siden da har problemet fået stor opmærksomhed. Det skriver IDG News Service.
For eksempel har Microsoft valgt - for første gang i hele 2011 - at udsende en nød-opdatering til ASP .Net uden for de faste opdateringstider. Det skulle lukke hullet for .Net-servere, men problemet gælder også andre typiske webserver-teknologier: PHP, Ruby, Java og Googles V8-Javascript-motor.
De to tyskere fandt sikkerhedshullet i webservernes måde at håndtere hash-forespørgsler på.
En hash-værdi af data er en kode, der kan bruges, når der er brug for en kortere repræsentation af dataene. Webserverne skal sørge for, at der ikke dukker ens hash-værdier op, en såkaldt hash-kollision.
Men hackere kan ved at sende en lille, særligt kodet http-forespørgsel til en webserver fremprovokere et væld af disse hash-kollisioner, som tager meget processorkraft.
En forespørgsel på 100 kilobyte kan således holde en cpu-kerne fuldt beskæftiget i halvandet minut på en ASP-server, bekræfter Microsoft. Og med Java kan selv en fil på seks kilobyte holde en processorkerne travlt optaget.
Mens Microsoft allerede har sendt en opdatering ud - hvilket understreger alvoren i problemet - er flere andre firmaer på vej med en lapning af hullet.
Faktisk blev princippet bag angrebet beskrevet allerede i 2003, men dengang var det kun Perl, der valgte at følge op med en løsning på sikkerhedshullet.
Siden har hackere dog ikke brugt denne teknik, men det kan ske nu, hvor der er kommet meget opmærksomhed om sikkerhedshullet.