Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Falla de navegadores por etiqueta de imagen en Javascript
|
|
VSantivirus No. 537 - Año 6 - Jueves 27 de diciembre de 2001
Falla de navegadores por etiqueta de imagen en Javascript
Aviso de seguridad: Falla de navegadores por etiqueta de imagen en Javascript
Nombre original: Malicious Image Source Tag Javascript (Browsers fails on big
image count)
Fecha original: 11/dic/01
Autor/descubridor: Pavel Titov [Pavel.Titov@mtu-net.ru]
Aplicación vulnerable: Internet Explorer 6.0, Mozilla 0.9.6, Opera 5.11
Severidad: Media
Riesgo: Ataque de negación de servicio
Fabricante: Varios
Referencia: http://www.titov.pp.ru/
La versión 6.0 de Internet Explorer, y otros navegadores como Mozilla 0.9.6, pueden colgarse, arrastrando al sistema en su caída, al generarse un gran consumo de recursos del CPU al intentar visualizar una gran cantidad de imágenes embebidas en una maliciosa etiqueta "img scr" en Javascript.
El código que puede provocar la falla tiene un bucle que se repite una gran cantidad de veces.
En las versiones de Internet Explorer 6.0 (build 2600) de Windows 98, esto causa el congelamiento de la ventana del explorador, y cuando se intenta terminar la tarea para desbloquear el sistema (CTRL+ALT+SUPR), el sistema operativo entero falla.
En la misma versión del Internet Explorer, pero bajo Windows 2000, se produce un uso de más del 50% de los recursos del sistema por un largo periodo de tiempo, después que se le pregunta al usuario si desea detener el script. También se produce una disminución de la memoria disponible, a un ritmo de uno o dos megas por
minuto.
Mozilla 0.9.6 (build 2001112009), bajo Windows 2000, se congela. Se reporta un 98% de recursos utilizados y una gran perdida gradual de memoria (más de un mega por segundo), hasta bloquear al sistema.
Opera 5.11 (build 094d) bajo Windows 2000 y Windows 98, no se congela, pero se vuelve un poco lento. Se detecta una gran utilización de los recursos del CPU, y una pequeña perdida de memoria, a un ritmo de unos pocos kilobytes por minuto.
El mayor impacto de esta falla, está en la producción de ataques de negación de servicio, desde un sitio malintencionado, o a través de páginas HTML enviadas en el correo electrónico.
No existen soluciones de parte de los diferentes fabricantes, los que han sido debidamente avisados.
A nivel de usuario doméstico, usted puede deshabilitar la ejecución de Javascript en las opciones de seguridad del navegador que utilice (configuración avanzada).
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|