home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Hacking & Misc / bundle of exploits.sit / bundle of exploits / IE401bugs.txt

< prev

next >

Wrap

Text File  |  1998-07-17  |  7KB  |  174 lines

---

1. Hello all,
2.         I found three bugs in Internet Explorer 4.01 running under both Windows
3. 95 and Windows NT 4.0 (Server and Workstation w/  SP3).  The bugs are
4. caused by malicious code which makes IE crash in all three situations.  I
5. have NOT, however, found other ways for these bugs to be exploited to let
6. people cause more serious damage to the system.  I am still experimenting
7. with variations of the orignal bug and will relay any important
8. information on to you all, if and when it arises.  The following details
9. each bug...
10.  
11. Bug #1:
12.         This is the origional bug I found.  When loaded in IE 4.01 on both
13. Windows 95 and Windows NT 4.0 systems, it will crash the browser.  In
14. Windows 95 this bug causes two successive illegal operations, and causes
15. Active Destop to "lose it's settings" if being used.  In Windows NT 4.0
16. it gives you a Dr. Watson which tells you that IEXPLORE.EXE caused a
17. stack overflow, and causes Active Desktop to "lose it's settings" if
18. being used.  What I am doing here, is using the "data" attribute of the
19. "object" tag to reference itself.  This misuse of the object tag causes
20. the broswer to go into a loop, and eventually to meet it's maker with the
21. following errors:
22.  
23. Windows 95 errors:
24.         -EXPLORER causes a stack fault in module SHDOCVW.DLL at 016f:7078d692.
25.         -EXPLORER causes a page fault in module SHDOCVW.DLL at 016f:7078d692.
26.         -Active Desktop "loses it's settings" if it's enabled.
27.  
28. Windows NT 4.0 errors:
29.         -Dr. Watson gives: IEXPLORE.EXE > Exception: stack overflow
30. (0xc00000fd), Address: 0x7079024b.
31.         -Active Desktop "loses it's settings" if it's enabled.
32.  
33. Here is the code which makes this happen.  Make sure you save this code
34. in a file under the same name which is referenced in the object tag (in
35. this case, it's "crashmehtml.html").  Also, remember to remove the
36. comment tags before trying to load the file... if you don't nothing will
37. happen.
38.  
39. <!--
40. <html>
41. <head>
42. <title></title>
43. <object data=3D"crashmehtml.html"></object>
44. </head>
45. <body>
46. </body>
47. </html>
48. -->
49.  
50.  
51. Bug #2:
52.         This is a variation of the origional bug I found.  The ONLY difference
53. between this and bug #1 is the "script" tags in the head of the document.
54.  When this is loaded in IE 4.01, on both Windows 95 and Windows NT 4.0
55. workstations, it will crash the browser.  In Windows 95 it causes a stack
56. fault, then tells the user to close all programs and reboot the machine.=20
57. In Windows NT 4.0, Dr. Watson pops up and tells you IEXPLORE.EXE caused a
58. stack overflow.  Why this makes IE crash in a different DLL, I don't
59. know.  Anybody have any input on this one?
60.  
61. Windows 95 errors:
62.         -EXPLORER causes a stack fault in module MSHTML.DLL at 016f:704bc4cc.
63.         -Gives the error message: "There was an internal error and one of the
64. windows you were using will be closed.  It is recommended that you save
65. your work and close all programs, then restart your computer.".
66.  
67. Windows NT 4.0 errors:
68.         -Dr. Watson gives: IEXPLORE.EXE > Exception: stack overflow
69. (0xc00000fd), Address: 0x704bbbbc.
70.  
71.         Here is the code.  Again, make sure you save the code in a file which is
72. the same name as referenced in the object tag (in this case, it's
73. "crashmescript.html").  Also, remove the comment tags before testing out
74. the code... if you don't nothing will happen.
75.  
76. <!--
77. <html>
78. <head>
79. <title></title>
80. <script>
81. </script>
82. <object data=3D"crashmescript.html"></object>
83. </head>
84. <body>
85. </body>
86. </html>
87. -->
88.  
89.         NOTE: In the "script" tags, you can put anything you want.  I tried
90. 'language=3D"vbscript"', 'language=3D"javascript"', and
91. 'language=3D"poopooplatter"' and the same error occured every time.
92.  
93. Bug #3:
94.         What I have here is an html file (crashmeloop1.html) with a data
95. reference to itself AND a data reference to another file
96. (crashmeloop2.html), as well as another html file which references
97. itself, as well as referencing the origional file (crashmeloop1.html).=20
98. In Windows 95, this causes IE to go into a continuous loop while the HDD
99. grids away rather heavily.  I have let this run up to 10 minutes and did
100. not receive an error message of any sort (stack overflow or virtual
101. memory).  However, you cannot do anything until you ctrl+alt+del IE.=20
102. This is where the fun starts.  After you "End Task" IE, the HDD grinds
103. away for a long amount of time, which I found is directly proportional to
104. the amount of time you let the loop run... i.e. if you let the loop run
105. for ten minutes, the HDD is goind to spin for a lot longer after the "End
106. Task" then if you let the loop run for five minutes.  After the HDD stops
107. ginding, IE closes (although I noticed sometimes I have to move my mouse
108. to get it to close, tapping a key WILL NOT WORK), and you are returned to
109. the desktop.  If Active Desktop is being used, it will have "lost it's
110. settings".  In Windows NT, it is a different case.  The program will loop
111. until an error message pops up saying "Your system is running low on
112. virtual memory.  Please close some aplications.  You can then start the
113. System option in the Control Panel and choose the Virtual Memory button
114. to create an additional paging file or to increase the size of your
115. current pagin file."  IE then closes and nothing else happens (I verified
116. in Task Manager that IE is no longer running).  I find it strange that
117. the Windows 95 machine didn't give me the same message since the heavy
118. HDD activity was obviously the system paging.  I wonder how long I would
119. have to let a Windows 95 box run until it barfs?  I have a feeling, that
120. you could remove the self reference in both files and it would do the
121. same thing on both systems.  I have, however, not had a chance to do this
122. yet.  Unfortunately, finding bugs in IE is not in my job description. :-)
123.  I will test it out as soon as I get a chance.
124.  
125. Here is the code.  The same applies to this code, as the other two
126. above.
127.  
128. <!--
129. <html>
130. <head>
131. <title></title>
132. <object data=3D"crashmeloop2.html"></object>
133. <object data=3D"crashmeloop1.html"></object>
134. </head>
135. <body>
136. </body>
137. </html>
138. -->
139.  
140. <!--
141. <html>
142. <head>
143. <title></title>
144. <object data=3D"crashmeloop1.html"></object>
145. <object data=3D"crashmeloop2.html"></object>
146. </head>
147. <body>
148. </body>
149. </html>
150. -->
151.  
152.         Microsoft's position in this matter is, "The IE team has put this bug in
153. the bug database, and it will be fixed in the next release or service
154. release."  Personally, I think that bugs like these in commercial
155. software are unacceptable, but I can understand why they took the
156. position they did.  As Russ said in an e-mail to me, "...and while GP'ing
157. your machine is not a good thing, you're not likely to return to the site
158. that caused it...".  Make of it what you will...  If you have any
159. questions, feel free to contact me at agetchel@kde.state.ky.us.  Thanks
160. for listening...
161.  
162. Abe
163. <BR>
164. <div>--------------------</div>
165. <div>Abe L. Getchell</div>
166. <div>System Support Services</div>
167. <div>Kentucky Department of Education</div>
168. <div>E-Mail: agetchel@kde.state.ky.us</div>
169. <div>Voice:  502.564.2020ext225</div>
170. <div>Fax:     502.564.4695</div>
171. <div>--------------------</div>
172. </html>
173.  
174.