Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Safari Dialog Box Spoofing Vulnérabilité

22/01/2007 03H03
Référence Secunia : SA12892 
Date de publication : 2004-10-20
Dernière mise à jour : 2004-12-06

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Spoofing
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Safari 1.x

Référence CVE :
CVE-2004-1122


Description :
Secunia Research a découvert une vulnérabilité dans Safari, qui pourrait être exploitée par des sites web malicieux pour truquer des boites de dialogue.

Inactive windows peut launch dialog boxes pour qu'elles semblent être affichée par un site web dans another window. Cela pourrait être exploité par un site web malicieux pour montrer a dialog box, qui semble à originate depuis un site web de confiance.

L'exploitation de ce problème devrait normalement requière qu'un utilisateur est poussé à ouvrir un lien depuis un site web malicieux à un site web de confiance dans une nouvelle fenêtre.

A test est disponible ici:
http://secunia.com/multiple_browsers_dialog_box_spoofing_test/

La vulnérabilité a été confirmée dans Safari 1.2.3 (v125.9). Les autres versions pourraient également être affectées.


Solutions :
Appliquer la Mise à jour de Sécurité 2004-12-02.


Vulnérabilité découverte par :

Jakob Balle, Secunia Research.
Historique :
2004-12-03: Section "Solution" mise à jour.
2004-12-06: Référence CVE ajoutée.

Référence :
http://secunia.com/secunia_research/2004-10/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.