{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toutes les versions du navigateur Internet Explorer pour  Windows.</P>D'autres navigateurs, comme Mozilla, sont  partiellement affect\u00e9s.","closed_at":"2004-02-03","content":"## Description\n\nUne fonctionnalit\u00e9 permet de placer un login et un mot de passe dans une\nadresse r\u00e9ticulaire, notamment dans le but d'utiliser le protocole ftp.\n\nPar exemple :\n\n`ftp://anonymous:monmail\\%40mondomaine@ftp.site.tld`\n\nCette fonctionnalit\u00e9 est parfois d\u00e9tourn\u00e9e pour induire en erreur un\ninternaute :\n\n`http://www.sitelegitime.tld@www.sitepirate.tld`\n\nL'adresse r\u00e9ticulaire semble pointer sur sitelegitime.tld alors qu'en\nfait il pointe sur sitepirate.tld. C'est visible, il suffit de chercher\nle symbole `@` dans l'adresse reticulaire.\n\n  \nUne nouvelle variante permet de camoufler le symbole `@` dans l'adresse\nr\u00e9ticulaire.\n\nEn ins\u00e9rant la cha\u00eene de caract\u00e8res %00 ou %01 devant le caract\u00e8re `@`\ndans une adresse r\u00e9ticulaire, il est possible de masquer une partie de\nl'URL.\n\n## Contournement provisoire\n\n-   Appliquer des filtres au niveau des serveurs mandataires (proxies)\n    afin de bloquer les adresses r\u00e9ticulaires contenant les cha\u00eenes %00\n    ou %01 ;\n-   pour les sites utilisant le protocole HTTPS, v\u00e9rifier, comme \u00e0\n    l'accoutum\u00e9e, que le certificat correspond au site que l'on est\n    suppos\u00e9 visiter ;\n-   il est pr\u00e9f\u00e9rable de saisir manuellement les adresses r\u00e9ticulaires,\n    plut\u00f4t que de suivre un lien, en particulier pour les sites\n    sensibles (t\u00e9l\u00e9proc\u00e9dures, sant\u00e9, banques, ...) ;\n-   utiliser un navigateur non vuln\u00e9rable.\n\n## Solution\n\nPour Internet Explorer, l'\u00e9diteur a publi\u00e9 un correctif. Se r\u00e9f\u00e9rer \u00e0\nl'avis CERTA-2004-AVI-020.\n\n    http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-020/index.html\n","cves":[],"links":[{"title":"Base de connaissances Microsoft 833786 :","url":"http://support.microsoft.com/?id=833786"}],"reference":"CERTA-2003-ALE-006","revisions":[{"description":"version initiale.","revision_date":"2003-12-19T00:00:00.000000"},{"description":"ajout du rappel sur les correctifs.","revision_date":"2003-12-22T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence sur l'avis CERTA-2004-AVI-020.","revision_date":"2004-02-03T00:00:00.000000"}],"risks":[{"description":"Usurpation d'adresse r\u00e9ticulaire (url)"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans le navigateur Internet Explorer permet\nl'usurpation des adresses r\u00e9ticulaires (URL).\n","title":"Vuln\u00e9rabilit\u00e9 dans l'affichage des adresses r\u00e9ticulaires","vendor_advisories":[]}