Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Internet Explorer, exécution de code via substringData

juin 2008 par Vigil@nce

Un attaquant peut créer une page web utilisant la méthode
substringData() afin de faire exécuter du code sur la machine de
la victime lors de la visite du site web.

 Gravité : 4/4
 Conséquences : accès/droits utilisateur
 Provenance : serveur internet
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 11/06/2008
 Référence : VIGILANCE-VUL-7882

PRODUITS CONCERNÉS

Microsoft Internet Explorer [versions confidentielles]

DESCRIPTION

La méthode substringData() extrait une chaîne de caractères :
r = object.substringData(iOffset, iCount) ;

Lorsque cette méthode est employée sur un objet DOM modifié, un
débordement de tas se produit.

Un attaquant peut donc créer une page web utilisant la méthode
substringData() afin de faire exécuter du code sur la machine de
la victime lors de la visite du site web.

CARACTÉRISTIQUES

 Références : 950759, CVE-2008-1442, MS08-031, VIGILANCE-VUL-7882,
ZDI-08-039
 Url : https://vigilance.aql.fr/arbre/1/7882


Voir les articles précédents

    

Voir les articles suivants