Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Internet Explorer, Outlook et Outlook Express avec le greffon I-Nav de Verisign.
Résumé
Une mauvaise validation dans le contrôle ActiveX I-Nav permet à un utilisateur mal intentionné de faire exécuter du code arbitraire aux visiteurs d'un site web sous son contrôle.
Description
I-Nav est un contrôle ActiveX rajoutant le support des noms de domaines internationaux (IDN - « Internationalized Domain Names »). Ceci permet d'avoir des noms de domaines qui ne sont plus limités à l'ASCII 7 bits mais utilisant divers alphabets, et en particulier les caractères accentués dans le cas du français. Verisign a développé un greffon pour ajouter le support IDN à Internet Explorer, Outlook et Outlook Express. Une absence de vérification dans une fonction du contrôle permet de faire exécuter du code arbitraire, dans le cas où l'utilisateur mal intentionné a réussit à emmener sa victime sur son site malveillant.
Solution
Se référer au site de l'éditeur pour l'obtention d'une version corrigée (cf. section Documentation).
Documentation
- Bulletin de sécurité Zero Day Initiative http://www.zerodayinitiative.com/advisories/ZDI-06-014.html
- Site internet de i-Nav : http://www.idnnow.com
- Référence CVE CVE-2006-2273 https://www.cve.org/CVERecord?id=CVE-2006-2273