Internet Explorer XML File Cross-Site Scripting

 Date de Publication: 2003-06-17
 Titre: Internet Explorer XML File Cross-Site Scripting
 K-Otik ID : 0183
 Exploitable à distance : Oui
 Exploitable en local : Oui
 

 

 * Description Technique - Exploit *
 
 Une faille de type CSS touche Internet Explorer, ce problème résulte d'une erreur dans la manipulation de certains fichiers XML. Si Internet explorer rencontre une erreur, il affiche l'url du fichier xml, ce qui pourrait permettre l'exécution de commande en insérant des scripts dans ces liens.
Afin d'exploiter la vulnérabilité, un attaquant doit trouver un serveur avec un fichier xml qui ne peut pas être affiché correctement par IE, l'attaquant devra ensuite pousser la victime à cliquer sur un lien.

 http://[host]/flaw.xml?

  * Versions Vulnérables *

 Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6

  * Solution *
 
 Aucun patch n'est disponible pour le moment.


   * Références *

 http://sec.greymagic.com/adv/gm013-ie/

  * Crédits *
 
Failles découverte par GreyMagic Software (Juin 2003).

 

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits