Trou de sécurité Netscape (encore)

24 avr. 2001

Écrit par

Non, il ne s'agit pas du trou lié aux images, mais encore plus gros.

La librairie SmartDownload (l'une des nombreuses grosses lourdeurs inutiles de la bête) dispose en effet d'une faille permettant d'exécuter du code, n'importe quel code, sur un micro qui se contente de visiter un site, sans rien faire de particulier. Comment? Simplement en glissant le code dans une url, comme ça, discrètement.

"Mais SmartDownload est désactivé de toute façon et personne ne l'utilise, alors y a pas de problème" direz-vous. Oh que non, car SmartDownload analyse les adresses de toute façon, qu'il soit activé ou non (de là à se demander s'il se contente de les analyser ou s'il s'en sert pour tracer votre parcours... mais là n'est pas la question).

Le problème est corrigé dans la version 1.4 de SmartDownload, chose que Netscape s'est bien gardé de mentionner à qui que ce soit... forcément, c'est un problème tellement mineur...

Pour les détails, allez donc faire un tour chez The Register