Info: Win XP mit HMTL-IMG Tag aushebeln

Internet Internet Sicherheit
#1

Grüzi

Im Heise News Ticker steht eine Meldung über ein Problem des Windows XP Speichermanagements.
Wenn mit einem Browser (Firefox (Gecko), IE) eine HTML - Seite geöffnet wird, die ein IMG-Tag auf eine existierende Grafik enthält, die Höhe / Breitenangaben extrem hoch sind (unabhängig von der effektiven Grösse des Bildes), dann „friert“ XP komplett ein.

D.h. kein Taskmanager mehr - kein BlueScreen - einfach nichts.

Ich habe das soeben lokal („testhtml.htm“ / „testhtml.htm“) mit Win XP Prof und Win XP Home auf aktuellem Patchlevel und den Browsern Firefox und IE getestet. Und ich kann den Effekt bestätigen.

Dieser Fehler des Windows Memory Managementes ist für Windows Benutzer
extrem lästig. Um die diversen Windows Benutzer zu ärgern, werden sich sicher diverse Leute einen Spass machen und auf Ihren Websites solche „unsinnigen“ Höhen / Breitenangaben machen. Und natürlich wird der eine oder andere Web-Admin im Intranet, der seinen Server auf Linux laufen lässt, die Mitarbeiter welche mit XP Clients ärgern, in dem ihm da ab und an ein „Versehen“ unterläuft…

Quelle:
http://www.heise.de/newsticker/meldung/60433

Grüsse
Peter

#2

Und natürlich wird der eine oder andere Web-Admin im
Intranet, der seinen Server auf Linux laufen lässt, die
Mitarbeiter welche mit XP Clients ärgern, in dem ihm da ab und
an ein „Versehen“ unterläuft…

und falls er es übertreibt, daraufhin aus der Firma rausfliegen. Die Aufgabe eines Web-Admins ist es die anderen Mitarbeiter zu unterstützen … nicht deren Computer einzfrieren.

Die Clients können in der Regel eh nicht bestimmen, ob sie Linux oder Win einsetzen … wird von oben vorgegeben.

Seppi

#3

kleiner Test meinerseits & link securityfocus.com
Auch Grützi.

Mein Testopfer: WindowsXP+SP1 (+schlechter Einstellung), Opera 7.54u2 und eine html-Seite mit PNG-Bild (width=„67671024“ height="9967768). Der Opera schafft es, dass Bild stark verzerrt anzuzeigen. Jetzt ein Test mit dem IE…
Wenn keine baldige Rückmeldung erfolgen sollte, ist der Rechner ‚abgenibbelt‘ :smiley:

In der Zwischenzeit noch ein Sicherheitsbericht über das Sicherheitsdeseaster bei Windows2000: http://www.securityfocus.com/ -> http://www.securityfocus.com/columnists/330

Bis denne
mfg M.L.

#4

Hallo nochmal.

Mit dem PNG-Format (inkl. der Phantasiewerte) hat das Teil keine Probleme. Nur sieht das Ergebnis nicht besonders gut aus: http://mitglied.lycos.de/schachspielen/TEST4jsu8_2.html (eigene Manipulation, man sieht ein Bild eines Screenshots und eine YAHOO-Seite)

mfg M.L., der Angst hat, das Spiel mit .jpg zu wiederholen :wink:

#5

Salü Seppi

Danke für die professionelle Aussage. Das sehe ich genau so.

Grüsse
Peter

#6

Salü Markus

Danke für den Test. D.h. ich werde mir im Verlauf des Tages die neue Opera Version 8 downloaden und installieren. Mal sehen…

Grüsse
Peter

#7

Hallo Jungs

Also ich bin doch auch ein bissel nicht ganz auf der Höhe, und habe darum auch mal alle verfügbaren Testbilder angeklickt und was soll ich euch sagen, mein Mozilla 1.7.8 (unter XP SP2 und M$-Patches vom Mai diesen Jahres) zeigt mir zwar riesig grosse weise Flecken, aber die dürften nicht die Veranlassung sein, mit wehenden Fahnen zu einem anderen Browser zu rennen.

der hinterwäldler

#8

Hallo an den XPerten :smile:

Also ich bin doch auch ein bissel nicht ganz auf der Höhe, und
habe darum auch mal alle verfügbaren Testbilder angeklickt und
was soll ich euch sagen, mein Mozilla 1.7.8 (unter XP SP2 und
M$-Patches vom Mai diesen Jahres) zeigt mir zwar riesig grosse
weise Flecken, aber die dürften nicht die Veranlassung sein,
mit wehenden Fahnen zu einem anderen Browser zu rennen.

Als Zweit (oder Dritt-)Browser kann man den Opera durchaus verwenden. Allerdings ist auf meiner Testseite ja auch ein Fehler passiert: falsche HTML-Codierung ('Tschuldigung für den falschen link zum Bild - eine Reparatur lohnt nicht, da das Problem vermutlich bald ‚gefixt‘ wird). Ein Test auf lokaler Ebene sah mit dem IE 6.0 jedenfalls nicht besonders schön aus…

mfg M.L.

#9

Hallo,

Und natürlich wird der eine oder andere Web-Admin im
Intranet, der seinen Server auf Linux laufen lässt,

Huch? kann der IIS sowas nicht ausliefern?

Sebastian,
die Tage bis zum Patch zählend

Anwendungszwecke:

  • Gästebücher
  • E-Mail an Webmail-Nutzer
  • Google Images.

To be continued.

#10

Hallo,

Problem des Windows XP Speichermanagements.

Funktioniert das auch mit NT, Windows 98, ME und 95?

Das wäre mal ein gute Möglichkeit, diese ganzen verrotteten und sicherheitsmäßig ungewarteten Installationen so unattraktiv zu machen, wie es sich gehört.

Interessiert,

Sebastian

#11

Hallo,

und falls er es übertreibt, daraufhin aus der Firma
rausfliegen. Die Aufgabe eines Web-Admins ist es die anderen
Mitarbeiter zu unterstützen … nicht deren Computer
einzfrieren.

ACK.

Möglicherweise brauch ich auch garkein Admin zu sein. Einfach eine HTML-Mail an den gewünschten Empfänger (Absender schmackhaft fälschen natürlich) und BOING!

Die Clients können in der Regel eh nicht bestimmen, ob sie
Linux oder Win einsetzen … wird von oben vorgegeben.

Nun ja, und oben entscheidet nach der Buntheit der Werbebroschüren und nicht danach, wie Überstunden dadurch entstehen, daß die Rechner unzuverlässig arbeiten.

Oder was sollte die Aussage nun werden?

Gruß,

Sebastian

#12

Salü

Gemäss dem Entdecker des Fehlers sind nur Windows 2000 und XP mit SP2 von diesem Fehler betroffen.:

http://www.derkeiler.com/Mailing-Lists/Full-Disclosu…

Grüsse
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#13

Warnung! Dringend!
Salü

Der Link der Sebastian gepostet hat - „Google Images“ - führt zum Absturz von Win XP, Win 2000 und Win 2003 Clients:

http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…

Nicht anklicken, wenn man selber auf einem dieser OS aktiv ist.

Grüsse
Peter

#14

Der Link der Sebastian gepostet hat - „Google Images“ - führt
zum Absturz von Win XP, Win 2000 und Win 2003 Clients:

Huch? War doch nur ein Link zu Google :smile:

Ich habe den mal weggemacht.

Have fun,

Sebastian

#15

Schade für das Feedback :smile:
Salü Sebastian

So schade… Nachdem Du so schnell Dein Bsp. gelöscht hast, hätte ich natürlich genauso *diskret* diese Info gelöscht :smile:)

viele Grüsse und gemailt - die Idee ein Bsp. zu kreieren finde ich gut!
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#16

Hallo,

Hi,

Anwendungszwecke:

  • Gästebücher
  • E-Mail an Webmail-Nutzer
  • Google Images.
  • Online-Autionshaeuser,
  • Blogs,
  • Webforen.[1]

To be continued.

Jup,
Gruss vom Frank.
===footnotes===
[1] BTW: auch W-W-W hat diesbezueglich ein paar unsaubere Ecken, die sich vielleicht missbrauchen liessen.