Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Internet Explorer, Outlook et Outlook Express avec le greffon I-Nav de Verisign.

Résumé

Une mauvaise validation dans le contrôle ActiveX I-Nav permet à un utilisateur mal intentionné de faire exécuter du code arbitraire aux visiteurs d'un site web sous son contrôle.

Description

I-Nav est un contrôle ActiveX rajoutant le support des noms de domaines internationaux (IDN - « Internationalized Domain Names »). Ceci permet d'avoir des noms de domaines qui ne sont plus limités à l'ASCII 7 bits mais utilisant divers alphabets, et en particulier les caractères accentués dans le cas du français. Verisign a développé un greffon pour ajouter le support IDN à Internet Explorer, Outlook et Outlook Express. Une absence de vérification dans une fonction du contrôle permet de faire exécuter du code arbitraire, dans le cas où l'utilisateur mal intentionné a réussit à emmener sa victime sur son site malveillant.

Solution

Se référer au site de l'éditeur pour l'obtention d'une version corrigée (cf. section Documentation).

Documentation