Nunca un icono dio tantos problemas a una aplicación de Microsoft,
un simple icono puede llegar a producir el cuelgue de Internet
Explorer 5.0, e incluso podría llegar a comprometer la seguridad.
Entre las nuevas características incorporadas en Microsoft Internet
Explorer 5.0 se brinda la oportunidad al desarrollador de un
servicio web de personalizar mediante un icono el enlace que
aparece en las páginas de favoritos. Basta con que el administrador
incluya un icono con el nombre favicon.ico en el directorio para
que cuando el usuario decida añadir la página a los favoritos, el
icono se suba de forma automática e identifique el link con dicha
imagen.

Este icono ya dio que hablar hace días ya que a través de él, se
brinda la oportunidad al administrador de controlar los usuarios
que añaden las páginas en los favoritos (www.hispasec.com/unaaldia.asp?id=172).
Pero se ha descubierto que este icono puede causar aun más
problemas, pues Internet Explorer no realiza ningún chequeo
sobre el formato del archivo, con lo cual se admite como válido
cualquier archivo con el nombre favicon.ico. Esto puede dar lugar
a un cuelgue bajo plataformas Windows 95/98 en caso de el
administrados sitúe un archivo con datos erróneos (que no sea
un icono).

El problema parece estar asociado al módulo user.exe, que es
diferente entre versiones del sistema operativo, por lo que no
se da bajo Windows NT. Aunque no se ha comprobado todo parece
indicar que este error puede tratarse de forma similar a los de
sobrecarga de buffer, con lo que introduciendo algún tipo de
código ejecutable dentro del falso icono se podrían llegar a
conseguir privilegios o información en la máquina atacada.

Más información:
Bugraq: http://www.geek-girl.com/bugtraq/1999_2/0336.html
Bug favicon: http://web.cip.com.br/flaviovs/sec/favicon/index.html