Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Firefox Property Manipulation : Vulnérabilité Cross-Site Scripting

22/01/2007 16H44
Référence Secunia : SA15549 
Date de publication : 2005-07-13
Dernière mise à jour : 2005-07-20

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla Firefox 1.x

Référence CVE :
CVE-2005-2266


Description :
Secunia Research a découvert une vulnérabilité dans Firefox, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

Le problème est que le "frames", "parent", "self", et "top" DHTML properties sont non proprement protégé d'être modifié par un autre site via JavaScript. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site arbitraire, qui appelle a method dans une du modifié properties.

La vulnérabilité a été confirmée en version 1.0.4. Les versions précédentes pourraient également être affectées.


Solutions :
Mettre à jour en version 1.0.5.
http://www.mozilla.org/products/firefox/


Vulnérabilité découverte par :

Andreas Sandblad, Secunia Research.
Historique :
2005-07-20: Added CAN reference et bulletin original.

Référence :
Secunia Research:
http://secunia.com/secunia_research/2005-15/advisory/

Mozilla:
http://www.mozilla.org/security/announce/mfsa2005-52.html




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.