Publié le 10-11-2007 dans le thème Réseau - Sécurité
Pays : International - Auteur : Eric Romang
Attaque du type cross-site scripting (XSS) lors du téléchargement de fichiers par le protocol URI jar: par le biais de Mozilla Firefox 2.0.x
PDP a rapporté une vulnérabilité, classifiée comme "faiblement critique", pour Mozilla Firefox 2.0.x, qui pourrait permettre à un internaute malveillant d'effectuer des attaques du type cross-site scripting (XSS).
La vulnérabilité est due au fait que le protocole "jar:" (URI) ne valide pas correctement le type MIME du contenu d'une archive. Cette erreur peut être exploitée pour effectuer une attaque du type cross-site scripting (XSS) sur des sites permettant à leurs membres de télécharger des fichiers comme par exemple, zip, .png, .doc, .odt, .tx.
http://www.zataz.com/alerte-securite/15634/Mozilla-Firefox-2.0.x-jar-XSS.html