Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Internet Explorer Page Loading Race Condition et URL Spoofing

06/06/2007 12H26
Référence Secunia : SA25564 
Date de publication : 2007-06-06

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité, Spoofing
Lieu : A distance


Solutions :
Non corrigée


Produit :
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x

Description :
Michal Zalewski a rapporté deux vulnérabilités dans Internet Explorer, qui pourraient être exploitées par un site web malicieux pour afficher une fausse URL dans la barre d'adresse ou passer outre certaines restrictions de sécurité.

1) Une "race condition" en naviguant à un nouveau site depuis une page pourrait être exploitée pour réaliser certaines actions et accéder le contenu de la page nouvellement chargée avec les permissions de l'ancienne page.

2) Une erreur dans l'interprétation de "location" des objets DOM pourrait être exploitée pour falsifier la barre d'adresse URL.

Note: Cette faille est rapportée ne pas affecter Internet Explorer 7.


Solutions :
Ne pas consulter des sites web non-fiables.


Vulnérabilité découverte par :

Michal Zalewski

Référence :
http://lists.grok.org.uk/pipermail/full-disclosure/2007-June/063712.html


Autres références :

US-CERT VU#471361:
http://www.kb.cert.org/vuls/id/471361




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.