Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing

22/01/2007 03H23
Référence Secunia : SA13015 
Date de publication : 2004-10-29
Dernière mise à jour : 2004-11-05

Risque : Non Critique. Niveau 1 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif Partiel


Produit :
Microsoft Internet Explorer 6.x
Microsoft Outlook Express 6

Description :
Benjamin Tobias Franz a découvert un défaut dans Internet Explorer, qui pourrait être exploitée par des personnes malintentionnées pour pousser des utilisateurs à visiter un site web malicieux en cachant URLs.

Cette faiblesse est a variant of:

Exemple :
br />

Il y a plusieurs ways of exploiting cela weakness où content dans un lien pourrait causer the incorrect link à être montré dans la barre de statut. A variant où an iframe references a document avec un lien a également été demonstrated.

Le problème a été confirmé en version 6.0 sur un système faisant tourner Windows XP avec SP1 installé. Les autres versions pourraient également être affectées.


Solutions :
Systems faisant tourner Windows XP avec SP2 installé ne sont pas impactées.

Never follow liens depuis des sources non fiables.


Vulnérabilité découverte par :

Benjamin Tobias Franz
Historique :
2004-11-04: Added davantage d'informations dans la section "Description".
2004-11-05: Ajout d'un lien à une note de vulnérabilité du US-CERT.


Autres références :

SA11273:
http://secunia.com/advisories/11273/

http://secunia.com/advisories/11582/

US-CERT VU#925430:
http://www.kb.cert.org/vuls/id/925430






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.