Risques

  • Récupération d'informations confidentielles
  • Usurpation du contenu de sites web

Systèmes affectés

  • Mozilla 0.x ;
  • Mozilla Firefox versions 0.x antérieures à la version 0.9 ;
  • Mozilla versions 1.0 à 1.6 incluses ;
  • Opera versions 5.x, 6.x ;
  • Opera versions 7.x antérieures à la version 7.52.

Résumé

Une vulnérabilité des navigateurs permet à un utilisateur mal intentionné d'usurper le contenu de sites web.

Description

Une vulnérabilité est présente dans plusieurs navigateurs dans la gestion des cadres (frames).

Lors de la visualisation d'un site web, si un lien doit ouvrir une URL dans un cadre particulier (désigné par l'instruction HTML target), le navigateur ne vérifie pas correctement si le cadre cible appartient à cette même fenêtre.

Il est possible pour un utilisateur mal intentionné, par le biais d'un lien HTML habilement construit, d'afficher une page web de son choix dans le cadre d'une fenêtre déjà ouverte du navigateur.

Cette vulnérabilité peut être exploitée pour usurper le contenu d'un site web, et recueillir ainsi des informations confidentielles (coordonnées personnelles ou bancaires, mots de passes, ...).

Contournement provisoire

Ne pas naviguer simultanément sur des sites de confiance et des sites non sûrs.

Solution

Mettre à jour le navigateur. Les versions suivantes corrigent cette vulnérabilité :

  • Mozilla 1.7 ;
  • Mozilla Firefox 0.9 et suivantes ;
  • Opera 7.52.

Documentation