多家厂商JavaScript解释器拒绝服务攻击漏洞

漏洞信息详情

多家厂商JavaScript解释器拒绝服务攻击漏洞

• CNNVD编号：CNNVD-200208-080
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0461
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2002-03-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Patrik Birgersson※…

很多现代浏览器都对JavaScript提供支持，可以解释执行网页包含的JavaScript的代码。
多家厂商的浏览器程序对JavaScript的解释存在漏洞，远程攻击者可能利用这个问题对用户的浏览器实施拒绝服务攻击。
浏览器JavaScript解释上的漏洞可能使远程攻击者利用JavaScript使浏览器进入一个无限循环，导致其崩溃。已经证实存在此漏洞的浏览器包括IE、Mozilla、Opera。在某些环境下(如Windows 2000下的IE)，从报告的错误信息看发生了缓冲区溢出，能否利用此溢出执行任意指令还未知。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在IE里禁止Javascript的运行：

在 工具->Internet选项->安全->Internet->自定义级别->Javascript脚本 设置禁用。

* 不要用有漏洞的浏览器访问不可信的站点。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp
Mozilla
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mozilla.org” target=”_blank”>
http://www.mozilla.org
Opera Software
————–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.opera.com” target=”_blank”>
http://www.opera.com

来源: BID
名称: 4322
链接:http://www.securityfocus.com/bid/4322

来源: XF
名称: ie-javascript-dos(8488)
链接:http://www.iss.net/security_center/static/8488.php

来源: BUGTRAQ
名称: 20020318 Javascript loop causes IE to crash
链接:http://online.securityfocus.com/archive/1/262994