Vigil@nce - Internet Explorer : détection de fichier via XMLDOM
mai 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une page HTML utilisant XMLDOM de Internet
Explorer, afin de détecter si un fichier ou un répertoire existe
sur l’ordinateur de la victime.
Produits concernés : IE
Gravité : 1/4
Date création : 07/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’ActiveX Microsoft.XMLDOM permet de manipuler des documents XML.
La méthode loadXML() charge un document. Si une erreur survient,
un message d’erreur est stocké dans les attributs
parseError.errorCode, parseError.reason et parseError.line.
Cependant, comme ce message d’erreur varie en fonction du
contexte, un attaquant peut s’en servir pour obtenir des
informations.
Un attaquant peut donc créer une page HTML utilisant XMLDOM de
Internet Explorer, afin de détecter si un fichier ou un répertoire
existe sur l’ordinateur de la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Internet-Explorer-detection-de-fichier-via-XMLDOM-12762