Risque
- Divulgation d'informations ;
- Exécution de code arbitraire ;
- Modification des options sur la barre d'outils Google.
Systèmes affectés
Barre d'outils GoogleVersion 1.1.58 et antérieures.
Résumé
Une vulnérabilité présente dans la barre d'outil Google permet à un utilisateur mal intentionné de changer les options de la barre d'outils, lire des fichiers ou encore exécuter du code arbitraire sur un système distant.
Description
La barre d'outils Google est une barre d'outils placée sur le navigateur Internet qui facilite la recherche des informations sur le moteur de recherche Google.
La barre d'outils Google peut-être configurée par le biais d'URL de type :
http://toolbar.google.com/command?<changement>).
En utilisant un langage de script dans une page html, un utilisateur mal intentionné peut :
- Visualiser les options de la barre d'outils ;
- changer les options de la barre d'outils ;
- effacer l'historique de la barre d'outils ;
- désinstaller la barre d'outils ;
- réorienter les recherches de l'utilisateur ;
- exécuter du code arbitraire ;
- lire les fichiers système.
Solution
Installer la version 1.1.60.
Documentation
Avis de sécurité GreyMagic :
http://www.security.greymagic.com/adv/gm001-mc/