Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-525

[MS/IE] Denial of Service auf Desktop mittels JavaScript
(2001-10-22 14:02:58+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00177.html

Mittels JavaScript-Code, der durch den Internet Explorer ausgeführt wird, können Bereiche oder der ganze Bildschirm (incl. Dialogfenstern und Taskleiste) überdeckt und so die Benutzung des Desktops unmöglich gemacht werden.

Betroffene Systeme

Der Internet Explorer 5.0 scheint nicht betroffen zu sein.

Einfallstor
arglistige Webseite oder HTML-E-Mail

Auswirkung
Überdeckung des Bildschirms und dadurch beispielsweise Manipulation von Dialogfenstern. Bei sorgfältiger Gestaltung des JavaScript-Codes ist ein Denial of Service-Angriff auf das aufrufende Desktop-System möglich (siehe Abschnitt Demonstration).

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch Ausführung entsprechenden JavaScript-Codes kann Microsofts Internet Explorer Teile des Bildschirms oder sogar den ganzen Bildschirm incl. Menüs, Taskleiste und Dialogboxen überdecken.
Dies könnte beispielsweise dazu ausgenutzt werden, ein Dialogfenster der Gestalt "Download folgender Datei:" (Öffnen | Speichern | Abbrechen | Details) in "Willkommen auf meiner Webseite" (Öffnen) zu ändern, da Bereiche (Speichern | Abbrechen ...) überdeckt werden.
Des weiteren kann der komplette Bildschirm (incl. Taskleiste, Taskmanager, Startmenü) verdeckt werden, wodurch bis zum Beenden des Internet Explorers (bzw. Abmelden vom System) keine Arbeit am betroffenen Desktop mehr möglich ist.

Workaround

Diese Maßnahme ist auch aus vielerlei anderen Gründen sehr zu empfehlen, da aktive Inhalte ein nicht unerhebliches Sicherheitsrisiko darstellen.

Demonstration (Ausführung auf eigene Gefahr)

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=525