Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Safari Window Injection Vulnérabilité

22/01/2007 04H03
Référence Secunia : SA13252 
Date de publication : 2004-12-08
Dernière mise à jour : 2005-01-26

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Spoofing
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Safari 1.x

Référence CVE :
CVE-2004-1314


Description :
Secunia Research a rapporté une vulnérabilité dans Safari, qui pourrait être exploitée par des personnes malintentionnées pour falsifier le contenu de sites.

Le problème est qu'un site web peut injecter du contenu dans une fenetre d'un autre site si le nom de la fenetre cible est connu. Cela peut par ex. être exploité par un site web malicieux pour falsifier le contenu d'une fenêtre pop-up ouverte sur un site web de confiance.

Secunia a construit un test, qui peut être utilisé pour vérifier si votre navigateur est affecté par ce problème:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/

La vulnérabilité a été confirmée dans Safari version 1.2.4. Les autres versions pourraient également être affectées.


Solutions :
Appliquer la Mise à jour de Sécurité 2005-001.
http://www.apple.com/support/downloads/


Vulnérabilité découverte par :

Secunia Research
Historique :
2004-12-10: Bulletin mis à jour.
2004-12-22: Référence CVE ajoutée.
2005-01-26: Section "Solution" mise à jour.

Référence :
Apple:
http://docs.info.apple.com/article.html?artnum=300770

Secunia Research:
http://secunia.com/secunia_research/2004-13/advisory/


Autres références :

SA11978:
http://secunia.com/advisories/11978/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.