Battezzato�HTTP/2 Bomb, � attivo un nuovo schema di attacco Denial-of-Service (DoS) che permette a un singolo computer, sfruttando una banale connessione casalinga da 100 Mbps, di saturare decine di gigabyte di memoria RAM in pochi secondi, provocando il crash immediato dei server web pi� diffusi sul mercato. La vulnerabilit�, identificata dall'agente software di intelligenza artificiale Codex di OpenAI sotto la guida del team di ricerca della societ� di sicurezza offensiva�Calif, si basa sulla combinazione di due tecniche di attacco gi� note.
La sinergia distruttiva unisce l'amplificazione della compressione HPACK�con la ritenzione delle risorse in stile�Slowloris, quest'ultima ottenuta tramite lo stallo del controllo di flusso di HTTP/2. In sostanza, l'attaccante abusa del meccanismo di compressione degli header integrato nel protocollo HTTP/2. Inserendo un header nella tabella dinamica HPACK e richiamandolo ripetutamente con rappresentazioni indicizzate ultracompatte (grandi anche solo un singolo byte), l'attaccante costringe il server ad allocare enormi quantit� di memoria. Il rapporto di amplificazione � spaventoso: su Envoy si arriva a 5.700:1, mentre su Apache httpd il fattore � di 4.000:1. Un singolo byte inviato si traduce in chilobyte di RAM occupati lato server.
