Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une page HTML utilisant XMLDOM de Internet
Explorer, afin de détecter si un fichier ou un répertoire existe
sur l’ordinateur de la victime.

Produits concernés : IE

Gravité : 1/4

Date création : 07/05/2013

DESCRIPTION DE LA VULNÉRABILITÉ

L’ActiveX Microsoft.XMLDOM permet de manipuler des documents XML.

La méthode loadXML() charge un document. Si une erreur survient,
un message d’erreur est stocké dans les attributs
parseError.errorCode, parseError.reason et parseError.line.

Cependant, comme ce message d’erreur varie en fonction du
contexte, un attaquant peut s’en servir pour obtenir des
informations.

Un attaquant peut donc créer une page HTML utilisant XMLDOM de
Internet Explorer, afin de détecter si un fichier ou un répertoire
existe sur l’ordinateur de la victime.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Internet-Explorer-detection-de-fichier-via-XMLDOM-12762