Tema: Denegación de servicio en IE, Mozilla y Opera

[Danae]

Denegación de servicio en IE, Mozilla y Opera

Una vulnerabilidad que afecta a los navegadores Internet Explorer, Mozilla Firefox y Opera, puede causar un ataque de denegación de servicio (DoS), bloqueando al sistema al llegar a utilizar el 100% de los recursos del CPU.

Una prueba de concepto ha sido publicada en Internet. El fallo puede ser fácilmente explotado por una simple página HTML conteniendo un código javascript malicioso. El código carga repetidamente una ventana con la etiqueta IFRAME.

Una etiqueta iframe, permite la inclusión de páginas dentro de otras páginas, ya sean del mismo dominio o protocolo, o no. Utilizando cualquier lenguaje de scripting, como JavaScript o VBScript, existen diversas maneras de acceder a un iframe, todas ellas haciendo uso de la propiedad document, que permite acceder al contenido de la etiqueta, es decir, a la página que contiene.

La prueba de concepto (POC), que causa que los recursos del procesador se agoten, incluye una ventana iframe que carga repetidamente el contenido de un directorio de Windows.

Un sitio web malicioso, o en algunos casos un correo electrónico con formato HTML, podrían llevar a cabo este tipo de ataque, causando el bloqueo del equipo con el software vulnerable.

Son afectadas las últimas versiones de los navegadores mencionados: Internet Explorer 6.0, Mozilla Firefox 0.9.3 y Opera 7.54

Al momento actual, no existen soluciones de parte de los fabricantes.

Créditos: MeFakon
Relacionados:
IE, Firefox, Opera DoS
http://www.securityfocus.com/archive/1/372635
Publicado en: http://www.vsantivirus.com/vul-iframe-dos.htm

[destroyer]

Estaremos atentos a esas actualizaciones..

Gracias Danae..

Un saludo

[Tiburciano polainas]

- Vulnerabilidad en librería Network Security Services de Netscape -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 24 de agosto de 2004 - SecurityTracker ha informado de la existencia
de un problema de seguridad que permite ejecutar código y afecta a los
sistemas que utilicen la librería Network Security Services (NSS) de
Netscape con la versión 2 de Secure Sockets Layer (SSL).

La vulnerabilidad reside en un desbordamiento de buffer que se produce al
tratar paquetes de la citada versión de SSL, ya que la librería NSS de
Netscape no valida adecuadamente -en el mensaje hello- la longitud del campo
de un registro. En la práctica, un usuario podría provocar el desbordamiento
de buffer, mientras se produce la conexión, para ejecutar el código que
desee en el sistema afectado.

La librería NSS se utiliza en múltiples productos de Netscape, incluido
Enterprise Server (NES), Personalization Engine (NPE), Directory Server
(NDS) y Certificate Management Server (CMS). Sun One/iPlanet también la
emplea, por lo que se ve afectado por el referido problema de seguridad.

La corrección que se ha publicado, para evitar resultar afectado por esta
vulnerabilidad, se encuentra disponible en:
ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM

Ahí las tienes  :wink: