Windows-Bluescreen bei Anzeige zu großer Bilder im Browser
Nur wenige Zeilen HTML-Code genügen, um das Speichermanagement von Windows aus dem Tritt zu bringen und einen Bluescreen zu produzieren. Den Komplettabsturz verursachen Bilder in Webseiten, deren Höhen- und Breiten-Attribute enorm hoch sind.
Nur wenige Zeilen HTML-Code genügen, um das Speichermanagement von Windows aus dem Tritt zu bringen und einen Bluescreen zu produzieren. In der Folge ist ein Reset notwendig, um das System wieder zum Leben zu erwecken. Daten, die zur gleichen Zeit in anderen Applikationen verarbeitet wurden, sind verloren, sofern sie nicht zwischenzeitlich gespeichert wurden.
Den Komplettabsturz verursachen Bilder in Webseiten, deren Höhen- und Breiten-Attribute (Height, Width) enorm hoch sind, beispielsweise 9999999. Das Bild selbst muss dabei nicht besonders groß sein, es reicht allein die Definition im HTML-Code der Webseite:
<HTML>
<BODY>
<IMG SRC="./sweetydead.jpg" width="9999999" height="9999999">
</BODY>
</HTML>
Bei der Anzeige versucht der Browser die anhand der Attribute vorgegebenen Größe in der Seite zu reservieren beziehungsweise das Bild zu skalieren. Dabei genügt offenbar selbst der virtuelle Speicher nicht mehr, sodass das System zunächst nicht mehr reagiert und nach einiger Zeit einen Bluescreen zeigt, unter anderem mit dem Hinweis, der Grafikkartentreiber befinde sich in einer Endlosschleife.
Bei einem Test in der heise-Security-Redaktion stürzte ein Windows XP mit Service Pack 2 sowohl mit dem Internet Explorer als auch mit den Gecko-basierten Browsern Firefox 1.0.4., Mozilla 1.7.8 und Netscape 8.0.1 ab. An Windows allein kann es aber nicht liegen: So zeigen sich nämlich Firefox 1.1 (Deer Park Alpha 1) und Opera 8.0 von dem Angriff gänzlich unbeeindruckt. Während Deer Park nur einen schwarzen Kasten zeigt, schafft es der norwegische Browser sogar, das Bild anzuzeigen -- wenn auch stark verzerrt. An welcher Stelle nun das Problem am besten beseitigt wird, ob im Browser, in Windows oder in beiden, ist noch unklar. Anwender sollten bis zur Verfügbarkeit eines Updates beim Besuch unbekannter Webseiten möglichst keine weiteren Anwendungen mit wichtigen Daten geöffnet haben.
Siehe dazu auch: (dab)
- Microsoft Windows Image Rendering Memory Limit DoS, Fehlerreport von Luis A. Cortes Zavala
