Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : IE 6, usurpation de la barre d’adresse

octobre 2008 par Vigil@nce

SYNTHÈSE

Un attaquant peut employer des caractères spéciaux afin de
modifier l’apparence de la barre d’adresse IE 6 pour tromper
l’utilisateur.

Gravité : 1/4

Conséquences : camouflage

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : sources multiples (3/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 2

Date création : 28/10/2008

PRODUITS CONCERNÉS

 Microsoft Internet Explorer

DESCRIPTION

La barre d’adresse d’Internet Explorer affiche l’url de la page
actuellement visualisée. Deux vulnérabilités permettent à un
attaquant d’afficher une url de confiance alors que la page
visualisée est illicite.

Un attaquant peut employer le caractère "espace insécable" ( 
ou U+00A0) pour que nom réel du site soit plus grand que la barre
d’adresse. Par exemple "http://confiance......attaquant/" sera
visuellement tronqué, et la victime ne verra que
"http://confiance". [grav:1/4]

L’attaquant pourrait enregistrer un nom de domaine contenant un
caractère interdit, comme "conf\xC2\xA9iance.dom" (ce qui est
théoriquement impossible). Internet Explorer n’affiche pas les
caractères interdit, donc la victime verrait "confiance.dom".
[grav:1/4]

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8205

http://vigilance.aql.fr/vulnerabilite/8205


Voir les articles précédents

    

Voir les articles suivants