Vigil@nce : Firefox, vulnérabilités du gestionnaire de mots de passe
décembre 2008 par Vigil@nce
Plusieurs vulnérabilités ou faiblesses du gestionnaire de mots de
passe peuvent permettre à un attaquant d’obtenir le mot de passe
d’un site.
– Gravité : 2/4
– Conséquences : lecture de données
– Provenance : serveur internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : source unique (2/5)
– Diffusion de la configuration vulnérable : moyenne (2/3)
– Nombre de vulnérabilités dans ce bulletin : 14
– Date création : 16/12/2008
PRODUITS CONCERNÉS
– Mozilla Firefox
DESCRIPTION
Le gestionnaire de mots de passe permet de stocker les mots de
passe de l’utilisateur. Il comporte plusieurs vulnérabilités ou
faiblesses.
Le mot de passe est saisi dans un formulaire appartenant à un
autre site, sans afficher de warning. [grav:1/4]
Le mot de passe est saisi dans un formulaire ayant un chemin
d’accès différent. [grav:2/4]
Le mot de passe d’un deuxième chemin d’accès peut écraser le
premier mot de passe. [grav:1/4]
Le mot de passe est saisi dans un formulaire utilisant un
protocole différent, sans afficher de warning. [grav:1/4]
L’utilisateur peut demander le mot de passe en utilisant un
protocole peu sécurisé. [grav:2/4]
Le mot de passe est saisi dans un formulaire, même si la
fonctionnalité "autocomplete" est désactivée. [grav:2/4]
Le mot de passe est saisi dans un formulaire caché. [grav:2/4]
Le mot de passe est saisi dans un formulaire utilisant une méthode
HTTP différente, comme "GET". [grav:1/4]
Le mot de passe est saisi dans un formulaire utilisant une méthode
HTTP différente, sans afficher de warning. [grav:1/4]
Plusieurs chemins différents ne peuvent pas avoir de mot de passe
différents. [grav:1/4]
Le mot de passe est saisi dans un formulaire ayant un chemin
d’accès différent. [grav:1/4]
Le mot de passe est saisi dans un formulaire utilisant un nom
d’attribut différent. [grav:2/4]
Le mot de passe est saisi dans un formulaire sans interaction de
l’utilisateur. [grav:1/4]
Le mot de passe associé à un compte est changé sans demander à
l’utilisateur. [grav:1/4]
CARACTÉRISTIQUES
– Références : VIGILANCE-VUL-8335
– Url : http://vigilance.fr/vulnerabilite/8335