Vigil@nce : IE 7, modification du contenu de FRAME
juin 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut créer une page HTML illicite modifiant le
contenu d’une FRAME d’un autre site.
Gravité : 2/4
Conséquences : camouflage
Provenance : serveur internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : sources multiples (3/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 27/06/2008
Référence : VIGILANCE-VUL-7918
PRODUITS CONCERNÉS
– Microsoft Internet Explorer [versions confidentielles]
DESCRIPTION
La propriété "location" d’une FRAME indique son url. On ne peut
normalement pas modifier l’url d’une FRAME appartenant à un autre
site.
Cependant, si la propriété "location" reçoit une chaîne
JavaScript, il devient possible de modifier l’url et donc le
contenu de la FRAME.
Un attaquant peut ainsi par exemple usurper l’apparence du site.
CARACTÉRISTIQUES
Références : VIGILANCE-VUL-7918