Changer l'apparence
Alertes: Injection de contenu dans plusieurs navigateurs.
Impact(s) : Spoofing
Solution : Patch du fournisseur
Exploit : Non disponible
ZATAZ ID : ASZ-2004-112
Localisation(s) : Distante
Date de découverte : 09.12.2004
Date de modification : 13.01.2005
Cette technique peut être utilisée pour "spoofer" le contenu d'une fenêtre pop-up d'un site web.
Les chercheurs de Secunia ont rapportés une vulnérabilité dans plusieurs navigateurs internet qui peut être exploitée de façon distante afin de "spoofer" le contenu de sites web.
Le problème vient du fait qu'un site web, sur lequel l'utilisateur surf, peut injecter du contenu dans une fenêtre navigateur qui affiche un autre site web, si le nom de cette fenêtre navigateur est connue.
Les navigateurs suivants sont vulnérables :
Internet Explorer
Mozilla
Firefox
Opera
Safari
Konqueror
OmniWeb
iCab
En lien connexe vous pourrez voir une démonstration de la faille. Cette capture d'écran vous montre deux fenêtres, la fenêtre originale est celle du dessous, la fenêtre "spoofer" est celle du dessus "Citibank". Vous pouvez voir "Consumer Alert" apparaître sur le site web original et "spoofer" sur le site web de CityBank.
Il n’existe aucune solution pour le moment.
Essayez d’atteindre vos sites de confiances directement par l’adresse et non via des liens.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net