Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Firefox Greasemonkey Extension : Exposition de Données Sensibles

22/01/2007 20H29
Référence Secunia : SA16128 
Date de publication : 2005-07-21
Dernière mise à jour : 2005-09-28

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Greasemonkey 0.x (extension pour Firefox)

Référence CVE :
CVE-2005-2455


Description :
Mark Pilgrim a rapporté une vulnérabilité dans le Greasemonkey extension pour Firefox, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations diverses.

La vulnérabilité est causée du fait que certain functions being de manière non-sécurisée exposé et pourrait être exploitée par un site web malicieux via par ex. la fonction "GM_xmlhttpRequest()" de divulguer le contenu de fichiers locaux arbitraires et lister le contenu de répertoires locaux arbitraires.

L'exploitation de ce problème est possible seulement si a Greasemonkey script est configuré pour tourner sur le site web malicieux.

La vulnérabilité a été rapportée en versions inférieures à 0.3.5.


Solutions :
La vulnérabilité a été corrigée en version 0.3.5 par reducing the fonctionnalité.


Vulnérabilité découverte par :

Mark Pilgrim

Référence :
http://greaseblog.blogspot.com/2005/07/mandatory-greasemonkey-update.html


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.