Changer l'apparence
Alertes: Mozilla et Firefox
Groupe(s) OS affecté(s) : Microsoft Windows
Impact(s) : Spoofing
Solution : Patch du fournisseur
Exploit : Inconnu
ZATAZ ID : ASZ-2005-470
Localisation(s) : Distante
Date de découverte : 04.03.2005
Un internaute malveillant pourrait effectuer des attaques du type spoofing par le biais de cette vulnérabilité.
Secunia Research a rapporté une vulnérabilité pour Mozilla et Firefox.
Le problème est due au fait que le navigateur utilise l'URL pour déterminer le type d'association de fichier dans l'interface de téléchargement "Save Link As", mais utilise le nom de fichier par le biais de l'en-tête HTTP "Content-Disposition" lors de la sauvegarde d'un fichier téléchargé. Cette erreur peut être exploitée par un site web malveillant pour "spoofer" le type de fichier dans l'interface de téléchargement "Save Link As".
L'exploitation peut permettre la sauvegarde de logiciels malveillants dans le répertoire de téléchargement (par défault sur le bureau avec Firefox)
L'exploitation requiert que l'option "Cacher l'extension pour les fichiers connus" soit activée sous Windows (par défault)
La vulnérabilité a été confirmée pour la version Mozilla 1.7.3 et Firefox 1.0 pour Windows. D'autres versions peuvent être affectées.
Mettre à jour vers Mozilla Firefox 1.0.1:
http://www.mozilla.org/products/firefox/
Mozilla 1.7.5:
http://www.mozilla.org/products/mozilla1.x/
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net