Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Sunnuntai, 4.5.2003

Rivi HTML-koodia kaataa Internet Explorerin

Internet Explorer, Outlook, Frontpage ja kaikki muut jaettua shlwapi.dll-kirjastoa (Shell Light-Weight Utility) käyttävät Windows-sovellukset kaatuvat kohdatessaan tietyntyyppisen rivin HTML-koodia. Dll-kirjastossa oleva bugi aiheuttaa sovelluksissa Access violation -virheen, mikäli HTML-koodista löytyy rivi "<input type>". Sovellusvirheen aiheuttaja on vajaa type-parametri, jonka pitäisi välittää selaimelle weblomakkeeseen tulevan kentän tyyppi. Epätäydellisestä HTML-koodista huolimatta sovellusten ei pitäisi reagoida tilanteeseen kaatumalla, joten bugia dll-kirjastossa voidaan pitää pahana mokana.

Bugi on tietojärjestelmien kannalta harmillinen, mutta ei vaarallinen, sillä mahdolliset hyökkääjät voivat käyttää sitä vain sovellusten kaatamiseen, eivätkä esimerkiksi omien ohjelmakoodien ujuttamiseen tietojärjestelmään. Tietoturvayhtiö Secunian 23. huhtikuuta julkistamaan bugiin ei vielä ole saatavilla korjauspakettia.

Oman järjestelmän alttiutta haavoittuvuudelle voi omalla vastuulla testata Sektori.com-palvelimelle tehdyllä testisivulla.
Huom! Ylimääräiset selainikkunat kannattaa sulkea ennen testaamista, sillä selaimen kaatuessa avoinna olevissa selainikkunoissa olevat tiedot voidaan menettää.

Lue juttu oma, 4.5.2003 17:00. Lähde: SecurityFocus

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 35 uutta / 35 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
Re: jee
bzzr, 4.5.2003 20:35:50		 Pisteet: 0
Kyllä, haluan käyttjiä, mutta IEkäyttäjiä en kaipaa.. kerrankin ms on tehnyt hyvän ominaisuuden tuotteisiinsa :)
Valtaosa netin käyttäjistä on sitten mielestäsi jotenkin epäkelpoja vai?

Ihme juttu, että jopa joillain webiin ammatikseenkin viritelmiä tekevillä (muista nörteistä puhumattakaan) on kummallinen kiukutteluasenne IE:tä kohtaan. Jos IE:ssä ei toimi joku oma ei standardin mukainen viritelmä, ollaan naama norsun mutrulla, mutta se, ettei Netscapen nelosessa toimi mikään, on ihan OK, kun se ei ole Microsoftin tuote.

Se nyt vaan on niin helvetin trendikästä inhota Microsoftia ja sen tuotteita.
Pineapple Re: jee
Pineapple, 4.5.2003 23:59:27		 Pisteet: +1
Valtaosa netin käyttäjistä on sitten mielestäsi jotenkin epäkelpoja vai?
Ei, vaan tyhmiä.
Ja sekös sitten on rajattoman viisasta vihata ja pitää ihmisiä epäkelpoina vain siksi että eivät satu käyttäämään saman valmistajan selaitan tai käyttistä kuin sinä? Ja vieläpä sen vuoksi tehdä kiusaa ja tahallista pahaa näille ihmisille? On se hyvä että on avoin sorsa ja suljettu mieli. Itse käytän MSn tuotteita koneissani - linuxista en pidä. Mutta käyttisvalinta ei sensijaan rajoita ystäväpiiriäni tai sosiaalisia kontakteja (sen tekevät ihan muut seikat ;-). Sensijaan inhoan pahantahtoisia advokaatteja jotka tyrkyttävät omaa arvomaailmaansaa ja pitävät kaikkia muita alempiarvoisina ja jopa tekevät näille kiusaa. Lapsellista, typerää ja tarpeetonta - kasvakaa aikuisiksi tai ainakin aikuisemmiksi ja lopettakaa tuollaiset naurettavat hiekkalaatikko-tappelut.
Pineapple
Re: jee
rugueux, 5.5.2003 09:50:29		 Pisteet: +1
Sensijaan inhoan pahantahtoisia advokaatteja jotka tyrkyttävät omaa arvomaailmaansaa ja pitävät kaikkia muita alempiarvoisina ja jopa tekevät näille kiusaa. Lapsellista, typerää ja tarpeetonta - kasvakaa aikuisiksi tai ainakin aikuisemmiksi ja lopettakaa tuollaiset naurettavat hiekkalaatikko-tappelut.
Naurettavinta tässä on ehkä se, että microsoft.comin alta löytyy useampi sivu joka vaatii Microsoftin mielestä IE:n, että niitä pystyy katselemaan. Ja kun sitten esimerkiksi Operalla huijaa olevansa IE, niin sivusto ei sisällä mitään mikä ei toimisi kaikissa selaimissa.

Kyllä olen idiootti advokaatti kun olen kylmästi sukulaisille asentanut Mozillan. Kun ovat parin päivän käytön jälkeen oppineet sitä käyttämään ja huomanneet monia ominaisuuksia mitä IE:tä puuttuu, niin ymmärrän miten typerä ja idiootti olen. Olen kyllä jättänyt työpöydälle myös IE:n ikonin, mutta ei sitä ole käytetty, onko enään mitään tehtävissä?!

Moni tuttu on myös ruvennut ihan vakavissaan miettimään ja kokeilemaan Linuxia, kun ovat nähneet miten helppoa sen käyttö on. Miten hienoja asioita sillä saa, eikä maksa mitään. Ihan hävettää, en tiedä miten tästä selviää.

Tämä ei muuten edes ollut ensimmäinen bugi missä HTML kaataa IE:n. En sitten tiedä onko edellinen bugi jo korjattu, toivottavasti.

http://www.sztolnia.pl/hack/TrivialIECrash/Trivial...
--
Mihin on kadonnut perinteinen harakointi?
lokori Re: jee
lokori, 11.5.2003 13:13:28		 Pisteet: 0
Naurettavinta tässä on ehkä se, että microsoft.comin alta löytyy useampi sivu joka vaatii Microsoftin mielestä IE:n, että niitä pystyy katselemaan. Ja kun sitten esimerkiksi Operalla huijaa olevansa IE, niin sivusto ei sisällä mitään mikä ei toimisi kaikissa selaimissa.
Näinhän se homma etenee. Meinasin itse tilata ilmaisen kokeiluversion windows 2003 serveristä, mutta sen tilaaminen ei kyllä onnistunut linux-selaimellani. Ilmeisesti MS ei halua tai osaa konvertoida linux-käyttäjiä IE ja Windows mailmaan. Ainakin minusta tuollainen "markkinointi" on järjenvastaista.

Moni tuttu on myös ruvennut ihan vakavissaan miettimään ja kokeilemaan Linuxia, kun ovat nähneet miten helppoa sen käyttö on. Miten hienoja asioita sillä saa, eikä maksa mitään. Ihan hävettää, en tiedä miten tästä selviää.
Ei linuxin käyttö kyllä helppoa ole, mutta on se vakaa ja turvallinen. Sillä saa myös aikaan monia asioita vähällä vaivalla jotka on windowsissa työn ja tuskan takana.

En ole ainakaan kuullut kenestäkään jonka mielestä linux olisi jotenkin helppo käyttää ja omaksua, joskin esim. punahatun uudet distrot on valovuosien päässä siitä mitä oli esim. versio 5. Ehkä linuxiakin voi kohta pitää helppokäyttöisenä :)
Re: jee
Ttk, 4.5.2003 21:15:22		 Pisteet: 0
Jos IE:ssä ei toimi joku oma ei standardin mukainen viritelmä, ollaan naama norsun mutrulla, mutta se, ettei Netscapen nelosessa toimi mikään, on ihan OK, kun se ei ole Microsoftin tuote.
En viimeisistä Explorereista tiedä, mutta kyllä mm. CSS on aivan luvattoman huonosti ollut tuettu. Mozillassakin näyttää standardit takkuilevan, mutta mikä kummallista niin ei-vapaassa Operassa näyttää olevan tämän hetken paras CSS-tuki.

Se nyt vaan on niin helvetin trendikästä inhota Microsoftia ja sen tuotteita.
Sitähän se tuppaa olemaan ja vähänpä mietinkin millä käyttiksellä tämänkin postin aloittajan kone pyörii :-)
Ttk
Re: jee
Anonyymi kommentoija, 10.5.2003 02:04:32		 Pisteet: 0
Jos IE:ssä ei toimi joku oma ei standardin mukainen viritelmä, ollaan naama norsun mutrulla, mutta se, ettei Netscapen nelosessa toimi mikään, on ihan OK, kun se ei ole Microsoftin tuote.
En viimeisistä Explorereista tiedä, mutta kyllä mm. CSS on aivan luvattoman huonosti ollut tuettu. Mozillassakin näyttää standardit takkuilevan, mutta mikä kummallista niin ei-vapaassa Operassa näyttää olevan tämän hetken paras CSS-tuki.
Se nyt vaan on niin helvetin trendikästä inhota Microsoftia ja sen tuotteita.
Sitähän se tuppaa olemaan ja vähänpä mietinkin millä käyttiksellä tämänkin postin aloittajan kone pyörii :-)
enpa ole viela tavannu IE:ta joka ossaa nayttaa transparent PNG kuviakaan.
juhtolv Re: jee
juhtolv, 5.5.2003 13:48:49		 Pisteet: +1

En viimeisistä Explorereista tiedä, mutta kyllä mm. CSS on aivan luvattoman huonosti ollut tuettu. Mozillassakin näyttää standardit takkuilevan,
Mistä kohtaa Mozillan tuki WWW-standardeille muka sitten takkuilee?

mutta mikä kummallista niin ei-vapaassa Operassa näyttää olevan tämän hetken paras CSS-tuki.
Mites on vaihtoehtoisten tyylitiedostojen tuen laita? Ainakaan Opera 6.ssa sitä ei vielä ollut. 7:aa en ole vielä päässyt koittamaan.

http://www.w3.org/Style/Examples/007/alternatives....

Tämä Javascript/DOM-kikkare, jolla MSIE:n käyttäjätkin pääsevät vaihtamaan tyylitiedostoja, ei toimi ainakaan Opera 6:ssa:

http://www.alistapart.com/stories/alternate/

Jokos se Opera edes 7-versiossaan selviää kaikista näistä CSS-standardien mukaisista jutuista, joista Mozilla johdannaisineen on selviytynyt kunnialla jo kauan?:

http://www.meyerweb.com/eric/css/edge/

Opera 6:n kanssa eräät noista tempuista eivät toimineet.
Juhapekka "naula" Tolvanen * http://iki.fi/juhtolv/
Re: jee
Ttk, 5.5.2003 17:06:28		 Pisteet: 0
Mistä kohtaa Mozillan tuki WWW-standardeille muka sitten takkuilee?
Esimerkiksi tuo automaattinen sisällön tuotto (aika kömpelö käännös, muute) ei taida vielä toimia ainakaan numeroinnin osalta http://www.w3.org/TR/REC-CSS2/generate.html#counte... - sitä en tiedä onko nuo lainaus-hommat saatu jo toimimaan.

Mites on vaihtoehtoisten tyylitiedostojen tuen laita? Ainakaan Opera 6.ssa sitä ei vielä ollut. 7:aa en ole vielä päässyt koittamaan.
Lähettelin kyllä Opera softwarelle postia aiheesta varmaan puoli vuotta sitten, mutta eipä näytä - pienestä povailustaan huolimatta - mitään tulleen. Tuo nyt on kuitenkin ominaisuus mikä ei onneksi ole niin kauhaen olennainen (ei siinä, että silti saisi tukematta jättää).

Jokos se Opera edes 7-versiossaan selviää kaikista näistä CSS-standardien mukaisista jutuista, joista Mozilla johdannaisineen on selviytynyt kunnialla jo kauan?: http://www.meyerweb.com/eric/css/edge/
Opera 6:n kanssa eräät noista tempuista eivät toimineet.
Uuuu... Nuohan ne näyttävät mielenkiintoisilta (7.1:llä näyttää tähän asti toimivan) - BRB!
Ttk
Re: jee
Anonyymi kommentoija, 4.5.2003 22:56:03		 Pisteet: 0
Ei hän mikään koodi mee kääntäjästäkään läpi jos siinä on virheitä/virheellisiä määreitä !? Kyllä tommonen virhe koodi pitäis kaataakkin selain <input type eimitään>
bungle Re: jee
bungle, 5.5.2003 00:56:44		 Pisteet: +1
än mikään koodi mee kääntäjästäkään läpi jos siinä on virheitä/virheellisiä määreitä !? Kyllä tommonen virhe koodi pitäis kaataakkin selain <input type eimitään>
Riippuu kääntäjästä ja käännösvaiheesta. Kääntäjät eivät näissä virheissä useinkaan kuitenkaan kaadu muistinkäsittelyongelmiin, vaan reportoivat ongelmasta. HTML selaimissa tällainen koodi tai ihan minkälainen koodi tahansa tulkitaan usein hienovaraisemmin. Esim. jätetään koko tagi näyttämättä tai käsitellään puutteellinen tagi tekstinä tai valitaan joku oletus asento. Koska HTML:n ei ole pakko olla hyvinmuodostettua, eikä validia, pitäisi parserin mielestäni selvitä tämän uutisen mukaisesta tilanteesta moitteetta.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Pineapple Re: jee
Pineapple, 4.5.2003 20:25:46		 Pisteet: 0
mukavaa. pistinpä kyseisen rivin välittömästi jokaiselle sivulleni :-)
Mielenkiintoista. Jos vastaava ongelma olisi löytynyt esim Operasta tai Netscapesta, olisitko toiminut samoin ?
Pineapple
juhtolv Re: jee
juhtolv, 5.5.2003 13:53:33		 Pisteet: 0
mukavaa. pistinpä kyseisen rivin välittömästi jokaiselle sivulleni :-)
Miksi kiusata MSIE:n käyttäjiä, kun niitä voi myös valistaa? Ks. esim. mun kotisivu (joka ei kaada MSIE:tä tai ei ainakaan yritä kaataa)

www.slackware.com
Mitä tuohonkin nyt vielä sanoisi...
Juhapekka "naula" Tolvanen * http://iki.fi/juhtolv/
Ne joilla on yhtä vähän töissä tekemistä kuin minulla...
Anonyymi kommentoija, 5.5.2003 08:43:02		 Pisteet: 0
... voivat kokeilla seuraavaa html-riviä IE:llä:
<object id="test" data="#" width="100%" height="100%" type="text/x-scriptlet" VIEWASTEXT></object>

- Standard Disclaimer
Ei toimi
Anonyymi kommentoija, 5.5.2003 10:38:35		 Pisteet: 0
Ei tuo kyllä minun IE6:sta kaatanut, eikä mitään muutakaan tapahtunut (näkyy vain tyhjä tekstikenttä).
Tarkka versionumero on 6.0.2800.1106, päivitykset ajettu Windows Updatesta n. viikko sitten.
Re: Ei toimi
Anonyymi kommentoija, 5.5.2003 10:39:11		 Pisteet: 0
Niin ja käyttis on W2K.
Re: Ei toimi
Anonyymi kommentoija, 5.5.2003 11:51:26		 Pisteet: 0
Niin ja käyttis on W2K.
Täällä on XP ja IE6, ei kaatunut myös.
Re: Ei toimi
Anonyymi kommentoija, 5.5.2003 12:45:05		 Pisteet: 0
Niin ja käyttis on W2K.
Täällä on XP ja IE6, ei kaatunut myös.
Vau. Täällä on XP sp1 ja IE6. Kaatui.
Pineapple Re: Ei toimi
Pineapple, 5.5.2003 13:25:39		 Pisteet: +1
Ei tuo kyllä minun IE6:sta kaatanut, eikä mitään muutakaan tapahtunut (näkyy vain tyhjä tekstikenttä). Tarkka versionumero on 6.0.2800.1106, päivitykset ajettu Windows Updatesta n. viikko sitten.
Pikaisen testauksen tuloksena tulin seuraavaan johtopäätökseen. Ainakin tuossa 6.0.2800.1106ssa ainoastaan dokumentti jossa on PELKÄSTÄÄN tuo <input type> tai dokumentti jossa se on ensimmäisenä aiheuttaa kaatumisen. jos sitä ennen on yhtään mitään, vaikka esimerkiksi piste tai mikä tahansa html-tagi, kaatumista ei tapahdu vaan tulee, kuten sanottiin, pelkkä tyhjä input-fieldi.
Pineapple
IE 5.0 ja win2k, kaatuu
Anonyymi kommentoija, 5.5.2003 11:05:24		 Pisteet: 0
IE 5.0 ja win2k, kaatuu esim tällä koodilla:

<html>
<input type crash>
</html>

Mutta ei kaadu tällä koodilla:

<html>
<head></head>
<body>
<input type crash>
<body>
</html>

Arvailuja?
Re: IE 5.0 ja win2k, kaatuu
Anonyymi kommentoija, 5.5.2003 13:23:31		 Pisteet: 0
IE 5.0 ja win2k, kaatuu esim tällä koodilla: <html>
<input type crash>
</html>
Täällä ei kaatunut tuolla Outlook eikä IE 6.x
OS:nä W2K.
Re: IE 5.0 ja win2k, kaatuu
Anonyymi kommentoija, 5.5.2003 23:27:55		 Pisteet: 0

Täällä ei kaatunut tuolla Outlook eikä IE 6.x OS:nä W2K.
Eihän se kaadukaan tätä sivua katsoessa kun tuo ei ole sorsassa vaan tekstinä muun tekstin seassa.
Kaataa se myös OL:n
Anonyymi kommentoija, 5.5.2003 12:45:06		 Pisteet: 0
Ainakin XP:ssä missä testasin.

Mailin liitteeksi ko html ja siinä se.
Niinpä kajahti Word 97 Sr2
Anonyymi kommentoija, 5.5.2003 13:50:45		 Pisteet: 0
Savetin tuon Sektorin htmllän ja koitinpa piruuttani editoida sitä wordissä.
Onko yllättävää... noei
collin Kumma Juttu
collin, 5.5.2003 08:40:04		 Pisteet: 0
Tein pika pikaa sivun, missä tuo kyseinen koodin pätkä oli, eikä ainakaan minun explorerini asiasta mitään ihmeempiä tuumannut.

Kokeilin kahdella eri versiolla, IE 5:lla ja 5.5:lla. Käyttiksinä W2k ja 98.

Tuolla on testi sivu:
http://www.episent.com/~hc/testi.html

No, jatkamme ihmettelyä...

-HC
Re: Kumma Juttu
Anonyymi kommentoija, 5.5.2003 08:45:08		 Pisteet: 0
Tein pika pikaa sivun, missä tuo kyseinen koodin pätkä oli, eikä ainakaan minun explorerini asiasta mitään ihmeempiä tuumannut. Kokeilin kahdella eri versiolla, IE 5:lla ja 5.5:lla. Käyttiksinä W2k ja 98.
Tuolla on testi sivu:
http://www.episent.com/~hc/testi.html
No, jatkamme ihmettelyä...
-HC
<html>
<form>
<input type crash>
</form>
</html>

W2k ja IE 5.5 kaatuu ainakin
Re: Kumma Juttu
Anonyymi kommentoija, 5.5.2003 10:48:48		 Pisteet: 0
Tein pika pikaa sivun, missä tuo kyseinen koodin pätkä oli, eikä ainakaan minun explorerini asiasta mitään ihmeempiä tuumannut. Kokeilin kahdella eri versiolla, IE 5:lla ja 5.5:lla. Käyttiksinä W2k ja 98.
Tuolla on testi sivu:
http://www.episent.com/~hc/testi.html
No, jatkamme ihmettelyä...
-HC
<html>
<form>
<input type crash>
</form>
</html>
W2k ja IE 5.5 kaatuu ainakin
<input type>

ja w2k explorer 5.5 kaatuu ainaki mulla
Re: Kumma Juttu
Anonyymi kommentoija, 9.5.2003 08:57:09		 Pisteet: 0
Tein pika pikaa sivun, missä tuo kyseinen koodin pätkä oli, eikä ainakaan minun explorerini asiasta mitään ihmeempiä tuumannut. Kokeilin kahdella eri versiolla, IE 5:lla ja 5.5:lla. Käyttiksinä W2k ja 98.
Tuolla on testi sivu:
http://www.episent.com/~hc/testi.html
No, jatkamme ihmettelyä...
-HC
<html>
<form>
<input type crash>
</form>
</html>
W2k ja IE 5.5 kaatuu ainakin
<input type> ja w2k explorer 5.5 kaatuu ainaki mulla
Pelkkä:

<input type>

-tiedosto kaataa XP + IE 6.0.2800.1106... ...heh! Nyt eikun omaksi kotisivuksi toi... =)
Re: Kumma Juttu
Anonyymi kommentoija, 5.5.2003 11:15:38		 Pisteet: 0
Tein pika pikaa sivun, missä tuo kyseinen koodin pätkä oli, eikä ainakaan minun explorerini asiasta mitään ihmeempiä tuumannut. Kokeilin kahdella eri versiolla, IE 5:lla ja 5.5:lla. Käyttiksinä W2k ja 98.
Tuolla on testi sivu:
http://www.episent.com/~hc/testi.html
No, jatkamme ihmettelyä...
Tuo sivu ei kaatanut IE6:sta mutta sektorin testisivu kaataa.
Re: Kumma Juttu
Anonyymi kommentoija, 5.5.2003 11:52:54		 Pisteet: 0
Tuolla on testi sivu: http://www.episent.com/~hc/testi.html
No, jatkamme ihmettelyä...
XP + IE6 ei tapahdu mitään, sivu toimii eikä mitään ole kaatunut.