Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

Posté par . Modéré par Fabien Penso.
Tags :
0
14
déc.
2003
Mozilla
Une vulnérabilité de type mystification d'URL (« URL Spoofing ») a été identifiée dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.

L'URL http://www.site_confiance.com%01%00@sitemalicieux.com/attaquant.html affichera uniquement www.site_confiance.com dans la barre d'état.

Donc attention aux liens avant de cliquer !

Aller plus loin

  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par (page perso) . Évalué à -2.

    Et bien ça prouve que IE reste toujours en avance sur Mozilla...

    Et que vous pouvez critiquer IE, Mozilla est pas mieux ! Na..


    (c'est juste pour enlever le plaisir à pBpG , PierreBugnon et autres de poster ce message ;) )
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par (page perso) . Évalué à 1.

    mmmm curieux c difference de version de mozilla selon windows ou linux mmmm
    quid de firebird ??

    pm
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 2.

    Bizarre, j'ai fait le test sur un windows98 & mozilla 1.5 et je n'ai pas de probleme
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 6.

    K-Otik parle uniquement de la barre d'adresse alors que DLFP cite la barre d'adresse et la barre d'état...

    IE lui est concerné par les 2...
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par (page perso) . Évalué à 2.

    Mais cela fait des années que ce système passe sur tous les navigateurs ... IE, Mozilla, Konqueror, ... rien de bien surprenant
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 8.

    Ce n'est pas pour dire que Mozilla c'est mieux que IE, mais personnelement je trouve ça moins grâve que le bug dans la barre d'adresse (cf http://linuxfr.org/~gnumdk/7598.html(...) ), je m'explique :

    Je n'ai jamais fait confiance à l'information affichée dans la barre d'état, sachant que cette information peut être simplement changée avec un petit bout de javascript. Il suffit de regarder le code source de http://oridani.com/ie.html(...) où on trouve le code suivant :

    <a href="http://www.microsoft.com(...)" onClick="location.href=unescape('http://www.microsoft.com%01@oridani.com/ie2.html'(...));return(false);"> Utilisateurs d'IE ne cliquez pas ici, sinon vous allez vouloir changer de browser</a>

    Par contre dans la barre d'adresse c'est quand même plus ennuyeux, celle ci étant normalement non modifiable par un quelconque code.

    Voila, ce n'est qu'un autre moyen de cacher la véritable adresse du site sur lequel pointe l'URL.
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 1.

    Marrant leur exemple "www.site_confiance.com" alors que les underscores sont strictement interdits dans les noms de domaine ;-)
  • # Mozilla partiellement vulnérable au défaut de sécurité de mystification d'URL d'Internet Explorer

    Posté par (page perso) . Évalué à 8.

    Mozilla partiellement vulnérable au défaut de sécurité de mystification d'URL d'Internet Explorer
    http://www.mozillazine-fr.org/archive.phtml?article=4078(...)
    jeudi 11 décembre 2003

    Koody nous communique que Mozilla est partiellement vulnérable au trou de sécurité de mystification d'URL d'Internet Explorer récemment annoncé. Le dernier défaut d'IE permet à un attaquant de déguiser le vrai domaine d'une URL dans la barre d'adresse du navigateur, permettant à une page localisée sur evilscam.net de paraitre être sur microsoft.com. Cet exploit peut être utilisé pour augmenter l'efficacité des escroqueries communément appellés « phishing » qui ont récemment été utilisées pour viser les clients de PayPal, d'eBay et de plusieurs banques en ligne.

    La défaut de mystification de l'URL de la barre d'adresse a été annoncé à l'origine par Sam « Zap The Dingbat » Greenhalgh, qui a donné les détails de l'exploit et une démonstration. La société de sécurité Secunia a publié un rapport consultatif de la vulnérabilité, avec une mise à jour de Chris Hall annonçant que l'URL affichée dans la barre d'état lorsque le pointeur souris survol le lien d' une page mystifiée est aussi affectée. Bien que les navigateurs basés sur Mozilla comme la suite applicative Mozilla et Mozilla Firebird sont immunisés à la mystification de la barre d'adresse la plus grave, ils semblent être vulnérables à la variante de la barre d'état.

    Le test proposé par Secunia de mystification de l'URL de la barre d'adresse d'Internet Explorer démontre a la fois le défaut complet de IE et l'aspect barre d'état qui affecte Mozilla. Le rapport de Bugzilla approprié est le bogue 228176, qui a été remplit aujourd'hui et a déjà un correctif préliminaire en attachement (n'ajoutez pas s'il vous plaît de commentaires inutiles au bogue ; les développeurs sont déjà conscients de son sérieux. Il est recommandé aux utilisateurs de Mozilla de ne pas tenir compte de l'URL affichée dans la barre d'état et de vérifier l'adresse complète de la page de destination dans la barre d'adresse une fois arrivé sur le site.

    http://www.theage.com.au/articles/2003/12/12/1071125632006.html(...)
    http://www.zapthedingbat.com/security/ex01/vun1.htm(...)
    http://www.secunia.com/advisories/10395/(...)
    http://www.secunia.com/internet_explorer_address_bar_spoofing_test(...)
    http://bugzilla.mozilla.org/show_bug.cgi?id=228176(...)
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par (page perso) . Évalué à 9.

    > Probléme similaire sur Internet Explorer

    Ah non, le problème n'a rien de similaire. MSIE permet de trafiquer une information "de confiance". La barre d'adresse ne devrait pas pouvoir être "fausse". On ne sait pas qu'on est arrivé sur le mauvais site

    Mozo a un bug d'affichage sur le statut ... sauf que le webmaster a déjà la possibilité de mettre ce qu'il veut dans la barre de statut via javascript. Du coup je ne vois pas où est le problème. Si le webmaster voulait spoofer la barre d'adresse il le ferait d'abord via le javascript fait pour que via une url bidon (qui en plus se verrait par la suite dans la barre d'adresse).
    La barre d'adresse étant toujours ok, on sait qu'on est sur le mauvais site.


    onmouseover="top.window.status='http://www.microsoft.com'(...)" est vachement plus simple et personne n'a jamais vu ça comme une faille de sécurité, pourtant le résultat est le même
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 4.

    Ce n'est pas la première faille mozilla publiée. Son importance est minime et j'ai du mal à comprendre qu'on en parle autant (ce n'est pas le premier endroit ou je vois qu'on en parle).

    Etant donné la faille IE precedente ca a un effet pervers. J'ai vu des remarques stipulant que mozz est vulnérable à la même faille qu'ie, ce qui est loin d'être vrai

    C'est dangeureux certe (plus embetant que dangereux certes), mais sans commune mesure avec la faille IE
    • [^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

      Posté par . Évalué à 6.

      « ... et j'ai du mal à comprendre qu'on en parle autant. »

      Je prefere qu'on en parle, plutot que de le passer sous silence, parce qu'IE et Mozilla ne sont peut être pas les seuls a être touchés par ce défaut...

      « J'ai vu des remarques stipulant que mozz est vulnérable à la même faille qu'ie, ce qui est loin d'être vrai. »

      Ce n'est peut être pas grave, mais avoir dans son code un comportement qu'on a pas prévus c'est toujours embêtant et rien ne dit qu'on ne puisse pas faire des choses plus embêtante avec. Je ne serais pas surpris que beaucoup de personnes soient en train de vérifier leur code de gestion des URI en ce moment même :)
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 2.

    En même temps, qd je survole les liens dlfp, j'ai pas l'URL réelle, mais celle sur laquelle templeet va me rediriger une fois qu'il aurra compté mon clic.

    Peu de gens désactivent l'écriture dans la barre de status par les javascripts.
    • [^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

      Posté par . Évalué à 1.

      "Peu de gens désactivent l'écriture dans la barre de status par les javascripts."

      Beaucoup plus que tu ne le penses et surtout inconsciemment par exemple en mettant du texte qui défile dans la barre d'état.

      A ce propos dans Mozilla, quand on navigue avec des onglets, c'est le denier onglet qui a écrit dans la barre d'état qui affiche du contenu dans la barre d'état.

      Jusqu'à maintenant, je trouvais cela normal, l'ecmascript s'exécute à l'ouverture de la page. Mais est-ce vraiement normal, ne faudrait-il pas que l'ecmascript s'exécute à l'affichage de l'onglet ?

      PS : on doit dire ecmascript car maintenant c'est l'ECMA qui stansdardise le javascript, de plus n'a rien à voir avec java.
      • [^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

        Posté par (page perso) . Évalué à 1.

        > PS : on doit dire ecmascript car maintenant c'est l'ECMA qui stansdardise le javascript, de plus
        > n'a rien à voir avec java.

        Pas vraiment,

        Javascript, jscript et Rihno* sont tous trois des implémentations du standard ecma, mais ce sont bien des langages à part entière avec des différences

        * (je peux me tromper dans ce dernier nom mais j'ai la flemme de vérifier)
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 2.

    konqueror 3.1.4 lui n'est pas vraiment sensible à cette faille, celà dit, j'ai noté que les %2F et les %00 n'étaient pas affichés dans la barre d'état.

    Mais au fait, konqueror c'est véritablement un nouveau moteur où bien ils ont repris le code de mozilla ?
  • # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par . Évalué à 1.

    Et quand on pense que cette pseudo-faille sera résolue tout prochainement pour Moz certainement qu'il va falloir attendre des mois pour avoir l'équivalent sous IE...

    C'est là la différence fondamentale entre Mozilla et IE, la réactivité des développeurs !

    Et puis comme MS ne sait plus ce qu'ils publient comme patchs et par qui ça a été émi... lol :)
  • # Correction de la nouvelle !!!!!!!!!!!!!!!

    Posté par . Évalué à 10.

    Les modérateurs sont en vacances ?

    Titre 100% anglais !
    Mozilla Status Bar URL parsing and Spoofing Vulnerability
    Préférez :
    Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

    "URL Spoofing"
    Préférez :
    "Mystification de l'URL"

    les informations affichées sur la barre d'adresses et la barre
    Préférez :
    les informations affichées sur la barre d'adresses et la barre
    Seule la barre d'état est affectée, pas la barre d'adresse !

    uniquement www.site_confiance.com dans la barre d'adresse et la barre d'état.
    Préférez :
    uniquement www.site_confiance.com dans la barre d'état.
    Seule la barre d'état est affectée, pas la barre d'adresse !

    Le minimum est aussi de donner le bogue ouvert dans Mozilla, http://bugzilla.mozilla.org/show_bug.cgi?id=228176,(...) et d'indiquer q'un correctif préliminaire est en attachement de ce bogue.
    • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

      Posté par . Évalué à -2.

      C'est un peu dommage de vouloir franciser tous les mots jusqu'à obtenir quelque chose de parfaitement incompréhensible ...

      "Mystification de l'URL" ... nous devnons aussi couillons que les américains avec leurs "Liberty Fries" :-D

      Il y a des termes anglais très utilisés et qui signifient quelque chose de concret, pourquoi les remplacer par des traductions étranges qui n'évoquent rien tant elles sont peu utilisées en pratique (autre exemple : thread => filament, socket => prise qui rendent la lecture "étrange" de certains articles dans l'excellent "Linux Les Dossiers" sur le C) ?
      • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

        Posté par (page perso) . Évalué à 6.

        « Mystification de l'URL" ... nous devnons aussi couillons que les américains avec leurs "Liberty Fries" :-D »

        Tu n'as pas l'impression de tout mélanger ?

        Va parler de « URL spoofing » à n'importe qui hormis un informaticien, il est probable qu'il n'aura aucune idée de ce dont tu parles. Mystification d'URL est nettement plus abordable.

        Mais tout ceci n'a franchement rien à voir avec le fait de renommer un aliment pour se plaindre de l'attitude internationale d'un pays !

        J'ajouterais que tes « termes anglais très utilisés » ne signifient que quelque chose de concret à tes yeux parce que ces termes anglais en eux même n'évoquent pas grand chose pour toi (pour un anglophone, thread n'est pas plus ni moins concret que « filament » pour un francophone).
      • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

        Posté par . Évalué à 4.

        Je n'ai pas demander à traduire les termes thread ou socket :-)

        Je trouve seulement que "mystification de l'URL" est beaucoup plus parlant que "URL spoofing" !

        Si je dis ton "URL est mystifiée", j'ai plus de chance d'être compris que si je dis ton "URL est spoofée" (qui est incorrect).

        Si certains sont difficilement traduisibles (pixel, bit, soket, ...) ne nous laissons pas envahir par les termes anglais et utilisons le terme français s'il existe.

        LinuxFr est un site d'informations en français, donc écrivons français ! Pour les autres http://slashdot.org/(...) !
      • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

        Posté par (page perso) . Évalué à 6.

        Incompréhensible parce que mal traduit !
        "Spoofing" se traduit bien mieux par "usurpation", je trouve.
        Mais bon, si tu sais pas ce que veut dire "mystification", faut peut-être retourner à l'école ? Perso, quand je vois "mystification", je sais tout de suite de quoi ça parle, et je préfère utiliser le mot français qui traduit mieux ma pensée que le mot anglais que seuls comprendront les initiés.
        • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

          Posté par . Évalué à 1.

          Je trouve effectivement le terme "usurpation" plus adéquat.
          Quant à retourner à l'école je n'ai pas l'honneur de connaître Monsieur Zorro et je ne le juge pas il pourrait faire de même en retour car ce n'est pas le sens du mot qui m'a fait réagir mais la traduction que je trouve peu compréhensible dans le contexte c'est tout.
          Enfin, un non initié répondra : mystification de quoi ? ;-)
        • [^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!

          Posté par (page perso) . Évalué à 1.

          Incompréhensible parce que mal traduit !

          Le mot "mystification" est celui proposé par http://www.granddictionnaire.com(...) .
          Et je le trouve plus adapté à la réalité. Puisque mystifier c'est duper, ce qui est plus le cas, alors qu'usurper c'est s'emparer de quelque chose.

          Mystifier :
          Tromper (qqn) en abusant de sa crédulité et s'amuser à ses dépends . V Abuser, duper, leurrer.

          Usurper :
          S'approprier sans droit, par la violence ou la fraude (un pouvoir, une dignité, un bien) V. Arroger (s'), attribuer (s'), emparer (s'). Usurper un pouvoir, un titre, un nom, des honneurs. Obtenir de façon illégitime.
  • # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

    Posté par (page perso) . Évalué à 7.

    Franchement, c'est de l'enculage de mouche. En lisant la news j'ai eu un moment de panique, mince comme IE, puis en voyant que ca ne touche que la barre d'etat, j'ai eu un pfff de lassitude.
    Personne ne regarde cette barre d'état, qui est martyrisé quotidiennement par du javascript. Entre les adresses bidons de liens et les messages débiles qui défillent, qui se fie à cette barre ?

    Ca fait des années qu'un javascript peut changer la barre d'état aussi bien sous netscape, IE ou mozilla (et opéra ?), pour moi c'est vraiment 1000 fois moins grave que de pouvoir corrompre la barre d'URL qui elle doit être intouchable.

    Enfin, beaucoup de bruit pour rien, il y'a surement des bugs plus importants a corriger dans mozilla...

    Ps : le "bug" est aussi dispo pour mozilla 1.6b OS X.
    • [^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

      Posté par . Évalué à 2.

      > Personne ne regarde cette barre d'état, qui est martyrisé quotidiennement par du javascript.

      Pour que les barres d'état ne deviennent pas des martyrs : Preferences -> Advanced -> Script & Plugins -> Change status bar text (comme dit plus haut dans les commentaires :)

      Sauvons nos barres d'état :)
    • [^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

      Posté par (page perso) . Évalué à 1.

      Pareil.

      En voyant la news, je me suis dit "ben non alors!"

      Je teste, je lance mon IE adoré (ca faisait un moment, j'ai mis du temps a le retrouver :) ), et ca marche : microsoft.com affiche des ocnnerie, le spoofing marche. idem pour la barre de tache.

      Hop, allez, mon petit Firebird : commence par etre louche, il y a un gros carré a la fin de texte. De toutes facon, on s'en fout, n'importe quel webmaster peut faire ce qu'uil veut, pas grave. Je clique dessus. Ben euh... je vois une URL bizarre, hop c'est bon Firebird n'est pas atteint.

      Faut qu'on m'explique ou est vraiment la vulnérabilité.
      Pour moi, ce n'est pas du tout une vulnérabilité : personne ne peut exploiter la chose, un webmaster pouvait deja faire la meme chose avec JavaScript.
      C'est un bug mineur, rien de plus.

      Si on commence a parler de tous les bugs mineurs de toutes les applis...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.