Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer un MMS HTML, utilisant un
rafraîchissement, afin de provoquer un Cross Site Scripting.

– Gravité : 2/4
– Date création : 23/04/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La directive "meta http-equiv=refresh" d’un document HTML permet
de rediriger le visiteur vers une autre url.

La configuration "Show Message" des mobiles HTC Touch Pro 2
affiche directement le contenu des messages reçus. Cependant, si
le message emploie un "meta http-equiv=refresh", son code script
est exécuté dans le contexte du site web pointé.

Un attaquant peut donc envoyer un MMS HTML, utilisant un
rafraîchissement, afin de provoquer un Cross Site Scripting.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Windows-Mobile-Cross-Site-Scripting-via-MMS-9605