Javascript-code laat browsers crashen

[Blue-Sky]

<img src="http://upload.userbase.be/upload/browserlek.gif" align="left" width="120" height="160">Een script van slechts vier regels is genoeg om de populairste browsers zoals IE en Firefox te laten vastlopen. Een oplossing is er nog niet. Het lek in de browsers is ontdekt en gepubliceerd door Nederlander Berend-Jan Wever. Met een heel simpele javascript-code is het mogelijk om de browsers Internet Explorer, Mozilla Browser, Mozilla Firefox, Opera en Apple Safari te laten vastlopen.

Het script maakt gebruik van het zogeheten Infinite Array Sort denial of service-lek. Wever heeft het lek gemeld op zijn website en op de publieke mailinglijsten Bugtraq en Full Disclosure. Tot nu toe hebben de softwaremakers nog geen oplossing voor het mankement.

Niet alleen de browsers vertonen nog onvolkomenheden. Ook Windows XP met Service Pack 2 is niet volledig veilig. Inmiddels is een nieuwe code opgedoken om een lek in SP2 te misbruiken. Het gaat hierbij om een lek dat ontstaat als afbeeldingen op internet via de drag and drop-methode worden opgeslagen op een lokale pc.

In augustus werd al een code ontdekt om dit lek te misbruiken. Dit is later gepatcht door Microsoft. Met de nieuw ontdekte code wordt de beveiliging van die patch ondermijnd. De nieuwe code is, voor zover bekend, nog niet in de praktijk gebruikt om Windows-pc's binnen te dringen.

Al jaren wordt in beveiligingskringen de discussie gevoerd of lekken en codes wel gepubliceerd moeten worden voordat er een oplossing beschikbaar is. Critici menen dat het vroegtijdig publiceren onnodig onrust veroorzaakt en slechts bedoeld is om in de publiciteit te komen. Tegenstanders zijn echter van mening dat publicatie gerechtvaardigd is als de ernst van de lekken zo groot is.

Bron: Webwereld.nl van 30 november 2004