mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.

mercredi 7 janvier 2004

Le correctif pour la vulnérabilité de sécurité de mystification d’URL est intégré au tronc de Mozilla et à la branche 1.6

Les dernières compilations nocturnes de Mozilla comportent un correctif de la vulnérabilité de sécurité de mystification d’URL découverte dans plusieurs navigateurs le mois dernier. Une rustine a été intégrée hier au tronc et à la branche 1.6, ce qui signifie que le prochain Mozilla 1.6 et Mozilla Firebird 0.8 seront immunisés à cette vulnérabilité.

Dans les versions vulnérables de Mozilla, l’adresse affichée dans la barre d’état lorsqu’un lien est survolé est tronquée si les caractères %00 sont présents dans l’URL de la page de destination. Un attaquant pourrait l’exploiter pour faire un lien qui pointe sur http://www.microsoft.com%01%00@evilscam.net (l’emplacement réel étant evilscam.net) mais apparaissant dans la barre d’état simplement comme http://www.microsoft.com. En dupant un utilisateur en lui faisant croire qu’il ou qu’elle visite un site de confiance, un attaquant pourrait le ou la tromper en lui faisant révéler des informations sensibles comme des détails de la carte de crédit.

Le défaut a été à l’origine détecté dans Microsoft Internet Explorer avant d’être aussi découvert dans Mozilla. Le variante d’IE est cependant plus grave, puiqu’elle affecte non seulement l’URL affichée dans la barre d’état, mais aussi l’URL dans la barre d’adresse après avoir suivi un lien mystifié. Au moment d’écrire ces lignes, Microsoft a reconnu le problème, mais n’a encore diffusé aucune rustine.

Les détails techniques complets du correctif sont dans le bogue 228176. La page de test de Secunia de la mystification de la barre d’adresse d’Internet Explorer permet aux internautes de vérifier si leur logiciel est vulnérable.

Mise à jour : Le correctif est maintenant aussi intégré dans la branche 1.4 et sera inclus dans le prochain Mozilla 1.4.2.

3 commentaires

  1. Mathieu Laurent dit :

    Quand je vais sur une url de ce type http://www.microsoft.com%01%00@secunia.com/internet_explorer_address_bar_spoofing_test

    je peux être trompé.

    Car même si mon navigateur affiche l’url entièrement dans la barre d’adresse. Par inattention ou par manque de connaissance technique, moi ou une autre personne pourrait ne porter attention qu’aux premiers caractère de l’url c’est à dire ici http://www.microsoft.com.

    Je trouve qu’il ne faudrait pas afficher les infos nom d’utilisateur et ou password dans la barre d’adresse. Donc afficher le nom de domaine du site, le répertoire et le fichier (donc l’url sans la partie entre le http : // et le @ )

    Et aussi. Mozilla affiche tout ce qui suit après le @ dans la barre d’adresse. Mais si celle-ci n’est pas assez longue, elle peut aussi me cacher le @ et ce qui suit.

    1. Mathieu Laurent dit :

      au lieu de ne pas afficher la partie entre le http : // et le @.

      on pourrait:

      – l’afficher dans une autre couleur.

      – afficher une icone comme celle du blocage de pop-up

      – …

      1. Je pense que Mozilla respecte tout simplement la RFC sur les URL :

        <protocol>://<user>:<password>@<host>:<port>/<url-path>

        Par contre une RFE (une amélioration) a été proposée dans Bugzilla, pour avoir la coloration syntaxique dans la barre d’adresse :

        http://bugzilla.mozilla.org/show_bug.cgi?id=184074

        Tu peux toujours voter pour le bogue en attendant qu’un développeur l’implémente.

        A moins que tu te sentes capable de le coder toi même 🙂

Les commentaires sont fermés.

^