Alex' blog (Artikel mit Tag dos)

Multipoint 0.9.4b anfällig für DoS-Attacken

nospam@example.com (Alex) — Sun, 28 Oct 2007 19:59:00 +0100

Die FTP-Server Software "Multipoint 0.9.4b" ist anfällig für DoS-Attacken über das FTP-Protokoll (Control Port).

U.U. lässt sich dieser Bug auch für eine Remote Code Execution ausnutzen. Da der FTP-Server (ftpserver.exe) mit System-Rechten läuft, wäre dieser Umstand fatal.

Microsoft Windows GDI+ ICO File Remote DoS Vulnerability

nospam@example.com (Alex) — Fri, 08 Jun 2007 03:26:29 +0200

Jetzt kippe ich doch gleich aus den Latschen. Ich habe es mir ja schon fast gedacht, dass dies passieren wird: Jemand anderes, nämlich Dennis Rand von CSIS Security Group) hat nun die Lücke (CVE-2007-2237) veröffentlicht.

Gefunden habe ich diese Lücke, sofern es denn wirklich exakt die gleiche ist (sonst habe ich eben noch eine andere ) bereits vor einigen Monaten (dürfte im Januar gewesen sein). Hatte es bislang aber nicht geschafft, sie einmal einzureichen. Jetzt scheint es zu spät zu sein.

Daher Notiz an mich: Morgen gleich alle anderen Lücken einmal raussenden. Da gibt es zum Beispiel noch einige in den Hilfedateien (chm und hlp).

Wer außer mir plädiert auch für Tage mit mehr als 24 Stunden ? Da ist noch so viel zu erforschen ...

VoIP-DoS mittels UDP auf Fritz!Box

nospam@example.com (Alex) — Wed, 24 Jan 2007 16:52:49 +0100

Wie vor einigen Tagen bekannt wurde, lässt sich mit einem präparierten UDP-Paket auf Port 5060 die Fritz!Box des Herstellers AVM auf aus dem LAN sowie WAN heraus die VoIP-Funktionen zum Absturz bringt.
Seit dem 22.01. steht ein Update bereit.

Im Dezember wurde das Flaggschiff 7170 mit einigen neuen Features ausgestattet, die nach und nach zumindest zum Teil auch Einzug in andere Modelle erhalten sollten. Bislang ist davon aber leider noch nichts zu sehen.

Immer noch ungefixte JavaScript-Bugs im Firefox

nospam@example.com (Alex) — Tue, 02 May 2006 22:44:15 +0200

Es gibt auch in der allerneusten Version von Mozilla Firefox 1.5.0.3 (erhältlich seit heute) noch immer ungefixte JavaScript-Bugs. Der hier am 25.04.2006 erwähnte Bug ist seit 1.5.0.1 bekannt und auch ca. 4 Monate danach noch immer nicht gefixt.

In der aktuellen Version wurde nur ein JavaScript-Problem gegenüber 1.5.0.2 gefixt. Sonst wurde gar nichts geändert. Das Problem iframe.contentWindow.focus() ist nun nicht mehr existent. Wieso wieder nur halbe Arbeit getan wurde, ist mir echt unverständlich ...

Ungefixte JavaScript-Bugs im Firefox

nospam@example.com (Alex) — Tue, 25 Apr 2006 18:30:25 +0200

Wie bereits schon zu Zeiten von Mozilla Firefox 1.5.0.1 bekannt wurde, dass folgender kurzer HTML-Code mit JavaScript ausreicht, um Firefox einen DoS zu verpassen, funktioniert dies ebenfalls noch in der neusten Firefox-Version 1.5.0.2 (dt. Sprachversion). Warum ? Sind die Entwickler bisher über diese Erkenntnis noch nicht gestolpert und warum hat es niemand in Bugzilla eingetragen ? Spätestens nach einem kurzen mehrmaligen Drücken von OK ist es dann um den Firefox geschehen:


<html>
<body onfocus="alert('Ja');">
</body>
</html>

Passend dazu wurde heute bekannt gegeben, dass sich Firefox (ebenfalls auch in der neusten Version) bei gewissen JavaScript-Konstrukten von iframe.contentWindow.focus() ebenfalls verhaspelt.