Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Safari IDN Spoofing : Faille de Sécurité

22/01/2007 09H59
Référence Secunia : SA14164 
Date de publication : 2005-02-07
Dernière mise à jour : 2005-03-22

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Spoofing
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Safari 1.x

Référence CVE :
CVE-2005-0234


Description :
Eric Johanson a rapporté une faille de sécurité dans Safari, qui pourrait être exploitée par un site web malicieux pour falsifier l'URL affichée dans la barre d'adresse, SSL certificate, et barre de statut.

Le problème est causé du fait que an unintended result du IDN (International Domain Name) implementation, qui permet en utilisant international caractères dans domain names.

Cela pourrait être exploité par registering domain names avec certain international caractères qui resembles d'autres couramment utilisé caractères, de ce fait caen utilisant l'utilisateur à believe ils sont sur un trusted site.

Secunia a construit un test, qui peut être utilisé pour vérifier si votre navigateur est affecté par ce problème:
http://secunia.com/multiple_browsers_idn_spoofing_test/

La faille a été confirmé dans Safari version 1.2.4 (v125.1). Les autres versions pourraient également être affectées.


Solutions :
Appliquer la Mise à jour de Sécurité 2005-003.

Mise à jour de Sécurité 2005-003 (Client) 1.0:
http://www.apple.com/support/downloads/securityupdate2005003client.html

Mise à jour de Sécurité 2005-003 (Server) 1.0:
http://www.apple.com/support/downloads/securityupdate2005003server.html


Vulnérabilité découverte par :

Originally described par:
Evgeniy Gabrilovich et Alex Gontmakher

Rapporté par:
Eric Johanson
Historique :
2005-02-10: Référence CVE ajoutée.
2005-03-22: Section "Solution" mise à jour.

Référence :
http://www.shmoo.com/idn/homograph.txt


Autres références :

The Homograph Attack:
http://www.cs.technion.ac.il/~gabr/papers/homograph.html

ICANN paper on IDN Permissible Code Point Problems:
http://www.icann.org/committees/idn/idn-codepoint-paper.htm




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080417 Safari Vulnérabilités Diverses
20060731 Safari KHTMLParserpopOneBlock Corruption de la Mémoire
20060508 2005 Comments Script Vulnérabilités Diverses
20060425 Safari rowspan Attribute Vulnérabilité de Déni de Service
20051118 Safari Spoofing de la Barre de Controle
20050920 Safari data URI Handler Faille de Déni de Service
20050621 Safari Dialog Origin Spoofing Vulnérabilité
20050207 Safari IDN Spoofing Faille de Sécurité
20041208 Safari Window Injection Vulnérabilité
20041101 Safari Javascript Disabled Status Bar Spoofing
20041020 Safari Dialog Box Spoofing Vulnérabilité
20040308 Safari JavaScript Array Création Déni de Service
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe