XMCO : Un mauvais traitement des caractères spéciaux dans Safari permet d’usurper l’identité de sites de confiance
mai 2008 par XMCO PARTNERS
Une vulnérabilité affecte le navigateur internet Safari. Celle-ci peut être exploitée par un attaquant afin d’usurper l’identité d’un site de confiance.
L’erreur résulte d’une mauvaise gestion des caractères spéciaux (%E3 et %80). En incitant un utilisateur à cliquer sur un lien judicieusement conçu, un attaquant est en mesure de faire visiter à sa victime un site ne correspondant pas à l’adresse contenue dans la barre d’URL.
Une preuve de concept a déjà été publiée et est disponible à l’adresse citée en référence.
* Référence :
http://es.geocities.com/jplopezy/pruebasafari3.htmlhttp://www.securityfocus.com/bid/28891/discuss