SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Mozilla / Mozilla Firefox Window Injection Vulnérabilité
22/01/2007 03H43 Référence Secunia : SA13129 Date de publication : 2004-12-08 Dernière mise à jour : 2005-03-22
Risque : Moyennement Critique. Niveau 3 sur 5. Impact : Spoofing Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
Camino 0.x
Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla 1.7.x
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Référence CVE :
CVE-2004-1156
Description :
Secunia Research a rapporté une vulnérabilité dans Mozilla / Mozilla Firefox, qui pourrait être exploitée par des personnes malintentionnées pour falsifier le contenu de sites internet.
Le problème est qu'un site web peut injecter du contenu dans une fenetre d'un autre site si le nom de la fenetre cible est connu. Cela peut par ex. être exploité par un site web malicieux pour falsifier le contenu d'une fenêtre pop-up ouverte sur un site web de confiance.
Secunia a construit un test, qui peut être utilisé pour vérifier si votre navigateur est affecté par ce problème:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/
La vulnérabilité a été confirmée dans Mozilla 1.7.3, Mozilla Firefox 1.0, et Camino 0.8.2. Les autres versions pourraient également être affectées.
Solutions :
Mozilla Firefox:
Mettre à jour en version 1.0.1.
http://www.mozilla.org/products/firefox/
Mozilla:
Mettre à jour en version 1.7.6.
http://www.mozilla.org/products/mozilla1.x/
Ne pas consulter des sites non-fiables en consultant des sites de confiance.
Vulnérabilité découverte par :
Secunia Research
Historique :
2004-12-10: Ajout de Camino comme affecté. Référence CVE ajoutée.
2004-12-20: Ajout d'un lien à un rapport de bogue Mozilla.
2005-02-25: Mozilla Firefox 1.0.1 réalisée. Section "Solution" mise à jour.
2005-03-22: Mozilla 1.7.6 réalisée. Section "Solution" mise à jour.
SECURINFOS
