RUS-CERT-525 – Archivierte Meldung

Meldung Nr: RUS-CERT-525

[MS/IE] Denial of Service auf Desktop mittels JavaScript
(2001-10-22 14:02:58+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00177.html

Mittels JavaScript-Code, der durch den Internet Explorer ausgeführt wird, können Bereiche oder der ganze Bildschirm (incl. Dialogfenstern und Taskleiste) überdeckt und so die Benutzung des Desktops unmöglich gemacht werden.

Betroffene Systeme

Microsoft Internet Explorer 5.5/6.0

Der Internet Explorer 5.0 scheint nicht betroffen zu sein.

Einfallstor
arglistige Webseite oder HTML-E-Mail

Auswirkung
Überdeckung des Bildschirms und dadurch beispielsweise Manipulation von Dialogfenstern. Bei sorgfältiger Gestaltung des JavaScript-Codes ist ein Denial of Service-Angriff auf das aufrufende Desktop-System möglich (siehe Abschnitt Demonstration).

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch Ausführung entsprechenden JavaScript-Codes kann Microsofts Internet Explorer Teile des Bildschirms oder sogar den ganzen Bildschirm incl. Menüs, Taskleiste und Dialogboxen überdecken.
Dies könnte beispielsweise dazu ausgenutzt werden, ein Dialogfenster der Gestalt "Download folgender Datei:" (Öffnen | Speichern | Abbrechen | Details) in "Willkommen auf meiner Webseite" (Öffnen) zu ändern, da Bereiche (Speichern | Abbrechen ...) überdeckt werden.
Des weiteren kann der komplette Bildschirm (incl. Taskleiste, Taskmanager, Startmenü) verdeckt werden, wodurch bis zum Beenden des Internet Explorers (bzw. Abmelden vom System) keine Arbeit am betroffenen Desktop mehr möglich ist.

Workaround

Deaktivierung von Active Scripting im Internet Explorer unter Tools | Internet Options | Security | Internet -> Custom Level

Diese Maßnahme ist auch aus vielerlei anderen Gründen sehr zu empfehlen, da aktive Inhalte ein nicht unerhebliches Sicherheitsrisiko darstellen.

Demonstration (Ausführung auf eigene Gefahr)

http://www.guninski.com/opf2.html Bild bewegt sich über Dialogbox
http://www.guninski.com/bsod1.html Bild überdeckt den kompletten Bildschirm incl. Taskleiste und Menüs
Warnung! Es ist möglich, daß Sie nach Anklicken dieses Links Ihre Login-Sitzung beenden und sich neu am System anmelden müssen!

Weitere Information zu diesem Thema

Georgi Guninski security advisory #50 avascript in IE may spoof the whole screen

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=525