Controlado desde el
19/10/97 por NedStat
|
Opera 7 sigue siendo vulnerable a ataques DoS
|
|
VSantivirus No. 1090 Año 7, Miércoles 2 de julio de 2003
Opera 7 sigue siendo vulnerable a ataques DoS
http://www.vsantivirus.com/vul-opera-dos.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Existen en el navegador Opera, varios errores que aún no han sido corregidos, y que incluso en la versión 7 pueden causar, por lo menos, el cuelgue del programa.
Explotar estos errores, permiten que un atacante realice ataques de denegación de servicio sobre el sistema (DoS).
El problema es que los mismos pueden lograrse con un simple código HTML, desde una página Web.
Los ejemplos muestran como con solo 12 bytes dentro de una etiqueta "<!DOCTYPE>", puede hacerse que el Opera utilice el 100% de los recursos de la CPU, bloqueando no solo al programa, sino a la propia computadora.
El uso de algunos scripts pueden causar la falla del programa, pero sin otras consecuencias que su terminación en forma anormal.
Otra falla que termina utilizando todos los recursos de la computadora, puede explotarse a través del uso malicioso del formato de las hojas de estilo.
Todos los exploits para estas fallas están publicadas en Internet (cinco en total), y afectan a las versiones 7.03, 7.10, 7.11 y 7.11b para Windows.
La solución momentánea (para al menos cuatro de las cinco fallas demostradas), puede ser deshabilitar JavaScript (Archivo, Opciones rápidas, destildar "Activar JavaScript"), y también el Modo de autor en Estilo de páginas (Archivo, Opciones, Estilo de Página, Modo de autor, destildar "Hojas de estilo de la página"). Estos cambios modificarán el modo de visualizar ciertas páginas.
El vendedor fue avisado el 24 de junio y aún no hay respuesta.
Créditos:
imagine (Operash Webmaster), nesumin <nesumin@softhome.net>
Referencias:
[Opera 7] Five DoS codes on general web sites
http://www.securityfocus.com/archive/1/327333
Opera Software
http://www.opera.com/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|