Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mozilla / Mozilla Firefox Download Dialog Source Spoofing

22/01/2007 08H14
Référence Secunia : SA13599 
Date de publication : 2005-01-04
Dernière mise à jour : 2005-03-22

Risque : Non Critique. Niveau 2 sur 5.
Impact : Spoofing
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla 1.7.x
Mozilla Firefox 1.x

Référence CVE :
CVE-2005-0585


Description :
Secunia Research a découvert une vulnérabilité dans Mozilla / Mozilla Firefox, qui pourrait être exploitée par des personnes malintentionnées pour falsifier la source affichée dans le Download Dialog box.

Le problème est que long sub-domains et paths ne sont pas affichée correctement, qui ensuite pourrait être exploitée à obfuscate what est affichée dans le source field du Download Dialog box.

La vulnérabilité a été confirmée dans Mozilla 1.7.3 pour Linux, Mozilla 1.7.5 pour Windows, et Mozilla Firefox 1.0. Les autres versions pourraient également être affectées.


Solutions :
Mozilla Firefox:
Mettre à jour en version 1.0.1.
http://www.mozilla.org/products/firefox/

Mozilla:
Mettre à jour en version 1.7.6.
http://www.mozilla.org/products/mozilla1.x/


Vulnérabilité découverte par :

Jakob Balle, Secunia Research.
Historique :
2005-02-25: Mozilla Firefox 1.0.1 réalisée. Section "Solution" mise à jour.
2005-03-02: Référence CVE ajoutée.
2005-03-22: Mozilla 1.7.6 réalisée. Section "Solution" mise à jour.

Référence :
Secunia Research:
http://secunia.com/secunia_research/2004-15/advisory/


Autres références :

Bugzilla #275417:
https://bugzilla.mozilla.org/show_bug.cgi?id=275417




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.