241484

Mini-Bug: Einzeiler lässt Internet Explorer abstürzen

05.05.2003 | 15:10 Uhr |

Bug-Jäger finden immer wieder Möglichkeiten, um Microsofts Internet Explorer zum Absturz zu bringen. Jedes Mal muß Microsoft dann mittels eines Patches nachbessern. Mit dem neuesten Fund der Bug-Jäger kann der Internet Explorer mit nur einer Zeile HTML-Code zum Absturz gebracht werden.

Bug-Jäger finden immer wieder Möglichkeiten, um Microsofts Internet Explorer zum Absturz zu bringen. Jedes Mal muß Microsoft dann mittels eines Patches nachbessern. Mit dem neuesten Fund der Bug-Jäger kann der Internet Explorer mit nur einer Zeile HTML-Code zum Absturz gebracht werden. Das berichtet der Entdecker des Bugs im BugTraq-Forum von Securityfocus.com .

Im HTML-Code muss sich lediglich folgende Zeile befinden:

<input type crash>

Wird eine Seite mit diesem Einzeiler aufgerufen, dann streicht der Internet Explorer die Segel, verabschiedet sich mit einer kryptischen Fehlermeldung in die ewigen Datengründe und schiebt die Schuld auf die DLL-Datei Shlwapi.DLL. Vom Einzeiler-Bug sind alle Anwendungen betroffen, die diese DLL nutzen, also auch beispielsweise Outlook und Frontpage.

Das Wort "crash" im Code kann beliebig geändert werden. Das Ergebnis bleibt das selbe: der Internet Explorer stürzt ab. Der Bug tritt unter Windows XP und laut Forumteilnehmern auch unter Windows 2000 Server und Windows Server 2003 auf. Bei Windows Server 2003 erscheint allerdings die Fehlermeldung nicht direkt. Der Internet Explorer schließt und öffnet sich dann wieder. Erst beim nächsten Neustart wird der Anwender von der Fehlermeldung begrüßt.

Eine Sicherheitslücke stellt der Bug nicht dar, er ist also weitgehend ungefährlich. Ein schadenfroher Betreiber einer Website oder ein Spammer könnte den Bug höchstens dafür nutzen, um beim Nutzer die entsprechende Anwendung zum Absturz zu bringen.

PC-WELT Spezial: Sicherheit

PC-WELT Special: Security

Windows XP-Bug(chen): Einfaches Datei-Markieren beansprucht gesamte CPU-Leistung (PC-WELT Online, 28.04.2003)

Microsoft kündigt Update für fehlerhaften Kernel-Patch an (PC-WELT Online, 25.04.2003)

Microsoft fixt Registrierungs-Bug in Office 2000 (PC-WELT Online, 24.04.2003)

0 Kommentare zu diesem Artikel
241484