S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 janvier 2002
N° CERTA-2002-AVI-014
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans les cookies sous Netscape et Mozilla

Gestion du document

Référence CERTA-2002-AVI-014
Titre Vulnérabilité dans les cookies sous Netscape et Mozilla
Date de la première version28 janvier 2002
Date de la dernière version28 janvier 2002
Source(s) Notes de sécurité de Netscape
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Divulgation de données personnelles
  • Usurpation d'identité
  • Vol de cookies

Systèmes affectés

Netscape 6.x et Mozilla versions 0.9.5 et antérieures.

Résumé

Un utilisateur mal intentionné peut lire les cookies présents sur une machine distante.

Description

Un administrateur de site web mal intentionné peut, par le biais d'une URL habilement conçue (placée dans un courrier éléctronique écrit au format HTML ou sur une page web), lire des cookies qui ne sont pas destinés à son site web.

Contournement provisoire

  • Si possible, le format HTML ne doit pas être interprété par le logiciel de messagerie.
  • Désactiver les cookies pour la navigation quand ils ne sont pas nécessaires (c'est à dire la plupart du temps).

Solution

  • Passer à la version 6.21 de Netscape :

    http://home.netscape.com/computing/download/index.html

  • Passer à la version 0.9.7 de Mozilla :

    http://www.mozilla.org/releases/

Documentation

Gestion détaillée du document

    le 28 janvier 2002
    version initiale.