Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Código HTML puede colgar al Internet Explorer
 
VSantivirus No. 659 - Año 6 - Sábado 27 de abril de 2002

 Código HTML puede colgar al Internet Explorer
http://www.vsantivirus.com/vul-ie-img-scr.htm

Aviso de seguridad: Código HTML puede colgar al Internet Explorer
Nombre original: Microsoft Internet Explorer Browser Can Be Crashed By Remote HTML Containing Malicious Image Tags That Cause Infinite Processing Loops
Fecha original: 25/abr/02
Autor/descubridor: Berend-Jan Wever <skylined@edup.tudelft.nl>
Aplicación vulnerable: Internet Explorer 6.0 y anteriores
Severidad: Una página HTML común y corriente puede provocar el cuelgue del IE con la consiguiente inestabilidad de todo el sistema.
Riesgo: Ataque de denegación de servicio a través de una red (Internet)

Un usuario remoto puede crear un simple código HTML que causa el cuelgue del Internet Explorer, y por consiguiente la inestabilidad de todo el sistema.

Una simple etiqueta maliciosamente empleada, provoca un desbordamiento de búfer (una memoria intermedia asignada para guardar ciertos datos, recibe una cantidad mayor al espacio asignado, sin tener ningún control para evitarlo), lo que causa un agotamiento de los recursos del sistema, y su cuelgue.

La etiqueta puede ser algo tan simple como esto:

<IMG src="::" onError="this.src='::';">

Esta etiqueta causa que el IE intente mostrar como error la misma imagen que provoca el error, ocasionando un bucle infinito que genera el desbordamiento de búfer mencionado antes.

Aunque los reportes indican diferentes comportamientos ante esta condición, de acuerdo a la versión del IE y del sistema operativo, la mayoría de las combinaciones posibles (sobre todo en plataformas 9x y Me), causa el cuelgue del sistema.

La falla es similar a la reportada en VSA 657 (ver Referencias).

No hay soluciones de parte de Microsoft al momento de este informe que ya se ha hecho público en Internet, aunque el impacto puede ser disminuido si se desactivan los "Controles y complementos de ActiveX", en todas las zonas de seguridad (Opciones de Internet, Seguridad, todas las zonas bajo "Personalizada" marcar "Desactivar" para todas las entradas bajo "Controles y complementos de ActiveX").

También puede implementarse un filtro en la utilidad Proxomitron sugerida en nuestro sitio, para evitar daños provocados por el uso malintencionado de esta etiqueta.

Para instalar y configurar esta utilidad, siga este enlace:

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm


Referencias:

VSantivirus No. 657 - 25/abr/02
Cuelgue remoto del Internet Explorer (ataque D.o.S.)
http://www.vsantivirus.com/vul-ie-object-data.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS