S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 juillet 2000
N° CERTA-2000-AVI-018
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité sous Netscape 4.73 et antérieures

Gestion du document

Référence CERTA-2000-AVI-018
Titre Vulnérabilité sous Netscape 4.73 et antérieures
Date de la première version27 juillet 2000
Date de la dernière version27 juillet 2000
Source(s) Security Focus
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

  • Mozilla M15.
  • Netscape 4.73 et antérieures ;

Résumé

Certaines versions de Netscape sont vulnérables lors de l'affichage d'images jpg mal formées, durant la consultation d'un site, la lecture d'un mèl ou d'un groupe de discution. Au mieux Netscape « plante », au pire il exécute du code malvaillant.

Description

JPEG est un format d'image compressée très populaire sur internet. Dans le format JPEG les en-têtes sont constituées de plusieurs champs d'information. Un utilisateur malveillant peut construire une image ne respectant pas la structure de ces champs. Lorsque Nestcape charge une telle image, celle-ci exploite alors le débordement d'une variable pour le faire « planter » ou bien lui faire exécuter du code.

Comme tous les sites webs contiennent des images, le simple fait de naviguer s'avère dès lors très dangereux. On trouve actuellement des images faisant « planter » Netscape.

Solution

Mettre à jour Netscape avec la version 4.74

http://www.netscape.com/computing/download/index.html

Gestion détaillée du document

    le 27 juillet 2000
    version initiale.