CERTA-2003-ALE-006

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité dans le navigateur Internet Explorer permet l'usurpation des adresses réticulaires (URL).

Description

Une fonctionnalité permet de placer un login et un mot de passe dans une adresse réticulaire, notamment dans le but d'utiliser le protocole ftp.

Par exemple :

ftp://anonymous:monmail\%40mondomaine@ftp.site.tld

Cette fonctionnalité est parfois détournée pour induire en erreur un internaute :

http://www.sitelegitime.tld@www.sitepirate.tld

L'adresse réticulaire semble pointer sur sitelegitime.tld alors qu'en fait il pointe sur sitepirate.tld. C'est visible, il suffit de chercher le symbole @ dans l'adresse reticulaire.

Une nouvelle variante permet de camoufler le symbole @ dans l'adresse réticulaire.

En insérant la chaîne de caractères %00 ou %01 devant le caractère @ dans une adresse réticulaire, il est possible de masquer une partie de l'URL.

Contournement provisoire

  • Appliquer des filtres au niveau des serveurs mandataires (proxies) afin de bloquer les adresses réticulaires contenant les chaînes %00 ou %01 ;
  • pour les sites utilisant le protocole HTTPS, vérifier, comme à l'accoutumée, que le certificat correspond au site que l'on est supposé visiter ;
  • il est préférable de saisir manuellement les adresses réticulaires, plutôt que de suivre un lien, en particulier pour les sites sensibles (téléprocédures, santé, banques, ...) ;
  • utiliser un navigateur non vulnérable.

Solution

Pour Internet Explorer, l'éditeur a publié un correctif. Se référer à l'avis CERTA-2004-AVI-020.

http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-020/index.html

Toutes les versions du navigateur Internet Explorer pour Windows.

D'autres navigateurs, comme Mozilla, sont partiellement affectés.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les versions du navigateur Internet Explorer pour  Windows.\u003c/P\u003eD\u0027autres navigateurs, comme Mozilla, sont  partiellement affect\u00e9s.",
  "closed_at": "2004-02-03",
  "content": "## Description\n\nUne fonctionnalit\u00e9 permet de placer un login et un mot de passe dans une\nadresse r\u00e9ticulaire, notamment dans le but d\u0027utiliser le protocole ftp.\n\nPar exemple :\n\n`ftp://anonymous:monmail\\%40mondomaine@ftp.site.tld`\n\nCette fonctionnalit\u00e9 est parfois d\u00e9tourn\u00e9e pour induire en erreur un\ninternaute :\n\n`http://www.sitelegitime.tld@www.sitepirate.tld`\n\nL\u0027adresse r\u00e9ticulaire semble pointer sur sitelegitime.tld alors qu\u0027en\nfait il pointe sur sitepirate.tld. C\u0027est visible, il suffit de chercher\nle symbole `@` dans l\u0027adresse reticulaire.\n\n  \nUne nouvelle variante permet de camoufler le symbole `@` dans l\u0027adresse\nr\u00e9ticulaire.\n\nEn ins\u00e9rant la cha\u00eene de caract\u00e8res %00 ou %01 devant le caract\u00e8re `@`\ndans une adresse r\u00e9ticulaire, il est possible de masquer une partie de\nl\u0027URL.\n\n## Contournement provisoire\n\n-   Appliquer des filtres au niveau des serveurs mandataires (proxies)\n    afin de bloquer les adresses r\u00e9ticulaires contenant les cha\u00eenes %00\n    ou %01 ;\n-   pour les sites utilisant le protocole HTTPS, v\u00e9rifier, comme \u00e0\n    l\u0027accoutum\u00e9e, que le certificat correspond au site que l\u0027on est\n    suppos\u00e9 visiter ;\n-   il est pr\u00e9f\u00e9rable de saisir manuellement les adresses r\u00e9ticulaires,\n    plut\u00f4t que de suivre un lien, en particulier pour les sites\n    sensibles (t\u00e9l\u00e9proc\u00e9dures, sant\u00e9, banques, ...) ;\n-   utiliser un navigateur non vuln\u00e9rable.\n\n## Solution\n\nPour Internet Explorer, l\u0027\u00e9diteur a publi\u00e9 un correctif. Se r\u00e9f\u00e9rer \u00e0\nl\u0027avis CERTA-2004-AVI-020.\n\n    http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-020/index.html\n",
  "cves": [],
  "links": [
    {
      "title": "Base de connaissances Microsoft 833786 :",
      "url": "http://support.microsoft.com/?id=833786"
    }
  ],
  "reference": "CERTA-2003-ALE-006",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-12-19T00:00:00.000000"
    },
    {
      "description": "ajout du rappel sur les correctifs.",
      "revision_date": "2003-12-22T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence sur l\u0027avis CERTA-2004-AVI-020.",
      "revision_date": "2004-02-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Usurpation d\u0027adresse r\u00e9ticulaire (url)"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans le navigateur Internet Explorer permet\nl\u0027usurpation des adresses r\u00e9ticulaires (URL).\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans l\u0027affichage des adresses r\u00e9ticulaires",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.