Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Firefox OnKeyDown Event Focus Faille

02/07/2007 11H02
Référence Secunia : SA25904 
Date de publication : 2007-07-02

Risque : Non Critique. Niveau 1 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Non corrigée


Produit :
Mozilla Firefox 1.x
Mozilla Firefox 2.0.x

Description :
Carl Hardwick a découvert un défaut dans Firefox, qui pourrait être exploité par des personnes malintentionnées pour divulguer des informations sensibles.

Le défaut est causé du fait d'une erreur de conception dans le focus le traitement de champs de formulaires et pourrait être exploité en changeant le focus depuis un "textarea" field vers un "file upload" champ de formulaire via "OnKeyDown" event.

L'exploitation de ce problème permet à un fichier arbitraire sur le système utilisateur à être téléversé à un site web malicieux, mais n'est possible seulement si l'utilisateur est poussé à saisir le nom de fichier dans un "textarea" input form.

Le défaut est confirmé en version 2.0.0.4. Les autres versions pourraient également être affectées.


Solutions :
Désactiver le support du JavaScript.

Ne pas enter nom de fichiers à champs de formulaires on untrusted des sites web.


Vulnérabilité découverte par :

Carl Hardwick

Référence :
http://archives.neohapsis.com/archives/fulldisclosure/2007-06/0646.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.