xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Microsoft IE Self-Referential对象存在拒绝服务攻击漏洞


发布时间:2002-04-23
更新时间:2002-04-23
严重程度:
威胁程度:远程拒绝服务
错误类型:意外情况处置错误
利用方式:客户机模式

BUGTRAQ ID:4564

受影响系统
Microsoft Internet Explorer 6.0
   - Microsoft Windows 2000 Workstation
   - Microsoft Windows 2000 Workstation SP1
   - Microsoft Windows 2000 Workstation SP2
   - Microsoft Windows 98
   - Microsoft Windows 98SE
   - Microsoft Windows ME
   - Microsoft Windows NT 4.0 SP6a
详细描述
Microsoft Internet Explorer 6存在拒绝服务攻击,问题由于在处理HTML文档中的self-referential <OBJECT>对象上存在漏洞。

当对象类型为"text/html" ,并在DATA字段引用HTML文档名字时就可能出现拒绝服务攻击。

测试代码
建立包含如下代码的HTML文件

<OBJECT DATA="CRASH.HTM" TYPE="text/html"></OBJECT>

解决方案
关闭"Run ActiveX Controls and Plugins" 。

相关信息
Matthew Murphy <mattmurphy@kc.rr.com>.
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved