Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Internet Explorer/Outlook Express Status Bar Spoofing

22/01/2007 12H23
Référence Secunia : SA14304 
Date de publication : 2005-02-17

Risque : Non Critique. Niveau 1 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
Microsoft Internet Explorer 6.x
Microsoft Outlook Express 6

Description :
bitlance winter a découvert un défaut dans Internet Explorer/Outlook Express, qui pourrait être exploité par des personnes malintentionnées pour pousser des utilisateurs dans visitant un site web malicieux en cachant URLs.

Il est par défaut possible pour du code de script à manipuler des informations affichée dans la barre de statut. Dans tout les cas, une erreur permet la manipulation de the barre de statut sans en utilisant any du code de script (par ex. dans le "Restricted sites" zone).

Cela pourrait être exploité en incluant un "label" tag pour un lien, qui manipulates the link's appearance via quelques du HTML spécialement conçu code.

Cette faiblesse est a variant of:

Exemple :
br />
br />
br />
br />
br />
br />
br />
br />
[trusted_site]
br />
br />
br />
br />
br />
br />
br />

Le défaut a été confirmé en version 6.0 sur un système complètement à jour faisant tourner Windows XP avec SP2 installé. Les autres versions pourraient également être affectées.


Solutions :
Never follow liens depuis des sources non fiables.


Vulnérabilité découverte par :

bitlance winter


Autres références :

SA11273:
http://secunia.com/advisories/11273/

http://secunia.com/advisories/11582/

SA13015:
http://secunia.com/advisories/13015/




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.