[Vuln-13/12/03] Url Parsing & File Deleting

[Siddartha]

C'est la fête des butineurs en ce moment !

Aprés IE, c'est au tour d'Opera et surtout de l'excellent Mozilla de connaître des alertes de sécu !

Opera :

Une vulnérabilité a été identifiée dans l'explorateur web Opera, elle pourrait causer la perte de certains fichiers. La vulnérabilité est causée en raison d'une erreur de validation d'entrées pendant la création d'un fichier temporaire quand une fenêtre de téléchargement apparaît. Le nom du fichier temporaire est basé sur le nom du fichier téléchargé, mais l'utilisation de certains caractère dans le nom du fichier pourrait permettre des attaques par Directory Traversal.

-http://www.k-otik.net/bugtraq/12.13.Opera.php

Mozilla :

Une vulnérabilité similaire à la faille IE du 12/12/03 a été découverte dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère _AT_

-http://www.k-otik.net/bugtraq/12.13.Mozilla.php

[Beatnykk]

tiens marrant ça, comme quoi, yapa que IE qui laisse traîner des merdouilles ici et là

siddartha, t'aurais même pu continuer dans le fameux sujet ou faire un déplacé, non ?

[Siddartha]

ben non les failles ont un jour de décalage lol

Mais aprés si y'en a trop, oui, il faudra peut être penser à classer

[Monique]

Juste une petite remarque : une semaine après la découverte de la faille pour Mozilla, un patch était disponible... pour IE on attend toujours