Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Internet Explorer FTP : Injection de Commande

12/03/2008 16H18
Référence Secunia : SA29346 
Date de publication : 2008-03-12

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Non corrigée


Produit :
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x


Description :
Derek Abdine a découvert une vulnérabilité dans Internet Explorer, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques par injection de commandes FTP.

La vulnérabilité est causée du fait d'une erreur de validation d'entrée lors du traitement des URIs FTP. Cela pourrait être exploité pour injecter des commandes FTP arbitraires dans une session FTP en utilisant par ex. une URI FTP spécialement conçue contenant des séquences de caractères CRLF et des slashes finaux.

L'exploitation de ce problème est possible seulement si un utilisateur par ex. est poussé à visiter un site web malicieux.

La vulnérabilité est confirmée en version 6.0.2900.2180 et également rapportée en version 5. Les autres versions pourraient également être affectées.


Solutions :
Mettre à jour pour Internet Explorer 7. Ne pas consulter des sites web non-fiables.


Vulnérabilité découverte par :

Derek Abdine, Rapid7

Référence :
http://www.rapid7.com/advisories/R7-0032.jsp




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.