HTML-kode krasjer Windows

Et par linjer med HTML-kode er nok til å krasje Windows, viser et nederlandsk nettsted.

digi.no fikk denne uken vite om en nederlandsk webside som får mange Windows-drevne PC-er til å krasje, så snart siden lastes i en nettleser.

Websiden det er snakk om, finnes her, men ikke besøk den med mindre du er klar for en skikkelig krasj.

Websiden inneholder disse HTML-taggene:

<HTML>

<BODY>

<br>

<h1><center>Doeiiiiii !!!!</center></h1>

<IMG SRC="./sweetydead.jpg" width="9999999" height="9999999" />

</BODY>

</HTML>

Det er egentlig ingenting spesielt ved disse, bortsett fra høyde- og breddeparameterne til bildet. Disse er satt til å være nesten 10 millioner piksler store.

For å vise et bilde som et 10 millioner piksler stort i begge retninger, kreves det enorme mengder med minne – langt mer enn det som er tilgjengelig i vanlige PC-er. Det spesielle med bildevisning i nettlesere, er at det er høyde- og breddeparameterne i IMG-taggen som avgjør hvor stort bildet skal vises. Om bildet er stort eller lite har ingen betydning, så lenge disse parameterne er satt i taggen.

Det som skjer på mange PC-er, er at grafikkdriveren vil sette seg fast i en uendelig løkke mens den venter på at grafikkmaskinvaren skal bli inaktiv. Det som deretter skjer, avhenger av drivere og Windows-utgave. I våre tester har systemet låst seg helt en kort stund. Så har det enten gått rett til en omstart eller først vist en blåskjerm en periode og deretter dumpe kjernen til en fil før omstart. Noen mulighet til å lagre eventuelt arbeid, blir man ikke gitt.

HMTL-koden over og problematikken rundt den, ble beskrevet i et PDF-dokument vedlagt dette Full-Disclosure-innlegget i begynnelsen av mai.

Ole Tom Seierstad i Microsoft Norge, som har konferert med Microsoft Security Response Team, forteller at dette problemet gjelder mange, men ikke alle skjermkortdrivere. Fordi Microsoft ikke anser dette som et sikkerhetsproblem, har man ikke prioritert å rette det. En eventuell retting forvanskes fordi driverne hvor problemet oppstår, ikke lages av Microsoft, men av tredjepartsleverandører, gjerne skjermkortprodusentene selv.

Microsoft har publisert en artikkel om det generelle driverproblemet på denne siden.

Seierstad forteller at det foregår en kontinuerlig prosess med driverprodusentene, og at feilrapportene som automatiske genereres og sendes fra Windows når programvare krasjer, også deles med disse selskapene.

Vår og andres testing viser at en krasj kan oppstå hvis koden over vises i nettlesere som Internet Explorer og Firefox, i tillegg til i Outlook. Åpnes siden derimot i Opera, skjer det ingen krasj. Det kan virke som om Opera Software har lagt inn en maksimalt tillatt størrelse på bilder, for bildet som vises er på langt nær ti millioner piksler høyt eller bredt.

Linux-utgaven av Firefox ser også ut til å håndtere koden på en pen måte. Det samme gjør Microsofts verktøy for redigering av websider, Frontpage.

Taggene kan opplagt brukes til et tjenestenektangrep, ikke bare ved å lure folk til et ondsinnet nettsted, men første å fremst ved masseutsendelse av html-basert e-post. Mottakernes PC-er vil krasje straks det gjøres forsøk på å åpne meldingen i en sårbar e-postklient, for eksempel Outlook.

Riktignok kan man i blant annet Outlook 2003 sperre for automatisk nedlasting av bilder som skal vises i HTML-basert e-post, men er meldingen riktig utformet, vil mange likevel la seg lokke til å godkjenne nedlasting for å se bildet. Bilder anses jo normalt som ganske ufarlige, selv om de også kan fortelle avsenderen at e-posten har kommet fram.

Et annet alternativ er å skru av støtten for visning av HTML-basert e-post. Problemet med et er at svært mye e-post da blir temmelig uleselig, siden all formatering gjerne forsvinner. HTML i e-post blir benyttet av svært mange, og å skru av støtten for dette vil for mange være ganske uholdbart.

Den enkleste løsningen er nok at Microsoft, Mozilla Foundation og andre programvareleverandører legger til en kontroll av disse bildeparameterne og justerer dem ned hvis verdiene er usannsynlig høye, slik Opera trolig har gjort. Da kan slike problemer unngås.

Mozilla ser ut til å være i ferd med å gjøre dette. Ifølge tyske Heise Security takler neste utgave av Firefox (v1.1), nå kjent som Deer Park Alpha 1, det store bildet ved bare å vise en svart firkant.

Til toppen