SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Mozilla Firefox Image Javascript URI Dragging : Cross-Site Scripting
22/01/2007 12H48 Référence Secunia : SA14406 Date de publication : 2005-03-01 Dernière mise à jour : 2005-12-02
Risque : Non Critique. Niveau 2 sur 5. Impact : Cross Site Scripting Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Description :
Paul a découvert une vulnérabilité dans Mozilla Firefox, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.
La vulnérabilité est causée du fait que missing URI handler validation quand dragging une image avec un "javascript:" URL à la barre d'adresse of another window. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site arbitraire en incitant un utilisateur dragging une image à la barre d'adresse.
Ceci est similaire à vulnérabilité 2 dans:
La vulnérabilité a été confirmée en versions 1.0.4 et 1.0.7, et a également été rapporté en versions 1.0 et 1.0.1. Les autres versions pourraient également être affectées.
Solutions :
Mettre à jour en version 1.5.
http://www.mozilla.com/firefox/
Vulnérabilité découverte par :
Paul (greyhats)
Historique :
2005-06-21: Section "Description" mise à jour.
2005-09-27: Section "Description" mise à jour.
2005-12-02: Section "Solution" mise à jour.
Autres références :
SA14160:
http://secunia.com/advisories/14160/
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS
