VulDB: Microsoft Internet Explorer bis 6.0 HTML-Tags mehrere Event-Handler Denial of Service
Allgemein
scipID: 2089
Betroffen: Microsoft Internet Explorer bis 6.0
Veröffentlicht: 20.03.2006 (Michal Zalewski)
Risiko: 
kritisch
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Michal Zalewski endeckte in Microsoft Internet Explorer bis 6.0 einen Denial of Service-Fehler. Und zwar kann der Webbrowser zum Absturz gebracht werden, wenn innerhalb eines HTML-Tags mehr als 94 Event-Handler genutzt werden. Ein Webmaster könnte über ein simples Dokument den Browser der Besucher abstürzen lassen. Genaue technische Details sind nicht bekannt. Als Workaround wird empfohlen, entweder auf einen anderen Browser zu setzen (z.B. Mozilla Firefox) oder wirklich nur Ressourcen vertrauenswürdiger Herkunft anzeigen zu lassen.
Wieder eine Denial of Service-Sicherheitslücke im Microsoft Internet Explorer. Nachträglich scheint es schon fast unglaublich, wieviele Fehler Microsoft bei der Entwicklung des Browsers unterlaufen ist. Langsam aber sicher sollten alle Benutzer eingesehen haben, dass dieses Produkt definitiv keinen Preis für Sicherheit gewinnen wird. Ein Umstieg auf ein anderes Produkt wie Netscape oder Firebird wird immer naheliegender.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller arbeitet an einer Lösung.
Bestätigung: –
Massnahme: Ein alternatives Produkt einsetzen.
Link: http://windowsupdate.microsoft.com
Snort: –
Pattern: –
Quellen
Advisory: –
CVE: CVE-2006-1245
OSVDB: 23964
Securityfocus: 17131
Secunia: 19269
X-Force: 25292
Securitytracker: 1015794
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. April 2006
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
