Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une page HTML utilisant du code
JavaScript, pour accéder à des fichiers situés dans les Partages
Administratifs.

Produits concernés : IE

Gravité : 2/4

Date création : 24/01/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Les partages administratifs Windows (C$, D$, etc.) permettent
d’accéder à distance aux lecteurs de l’ordinateur.

Un programme JavaScript, exécuté depuis Internet Explorer, ne peut
normalement pas accéder aux fichiers locaux en utilisant la
syntaxe :
file :///C :/path/image.jpg
Cependant, l’utilisation des partages administratifs permet de
contourner cette restriction :
\\127.0.0.1\C$\path\image.jpg

Un attaquant peut donc créer une page HTML utilisant du code
JavaScript, pour accéder à des fichiers situés dans les Partages
Administratifs.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/IE-6-9-lecture-de-fichier-via-les-Partages-Administratifs-12350