S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 janvier 2002
N° CERTA-2002-AVI-014
Affaire suivie par: CERT-FR
le 28 janvier 2002

Avis du CERT-FR

Objet: Vulnérabilité dans les cookies sous Netscape et Mozilla

Gestion du document

Référence CERTA-2002-AVI-014
Titre Vulnérabilité dans les cookies sous Netscape et Mozilla
Date de la première version 28 janvier 2002
Date de la dernière version 28 janvier 2002
Source(s) Notes de sécurité de Netscape
Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Vol de cookies ;
  • divulgation de données personnelles ;
  • usurpation d'identité.

Systèmes affectés

Netscape 6.x et Mozilla versions 0.9.5 et antérieures.

Résumé

Un utilisateur mal intentionné peut lire les cookies présents sur une machine distante.

Description

Un administrateur de site web mal intentionné peut, par le biais d'une URL habilement conçue (placée dans un courrier éléctronique écrit au format HTML ou sur une page web), lire des cookies qui ne sont pas destinés à son site web.

Contournement provisoire

  • Si possible, le format HTML ne doit pas être interprété par le logiciel de messagerie.
  • Désactiver les cookies pour la navigation quand ils ne sont pas nécessaires (c'est à dire la plupart du temps).

Solution

Documentation

Notes de sécurité de Netscape :

http://home.netscape.com/security/

Gestion détaillée du document

    le 28 janvier 2002
    version initiale.