Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données ;
  • injection de code indirecte.

Systèmes affectés

  • Opera versions 5.x ;
  • Opera versions 6.x ;
  • Opera versions 7.x ;
  • Opera versions 8.x ;
  • Opera version 9.60 et versions antérieures.

Résumé

De multiples vulnérabilités ont été découverte dans les différentes versions du navigateur Opera. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

Trois vulnérabilités ont été découvertes dans le navigateur Opera :

  • la première est due à une mauvaise gestion des URL ouvertes depuis l'historique et permet d'exécuter du code arbitraire sur la machine de la victime ;
  • la deuxième est due à une mauvaise gestion de la fonctionnalité Fast Forward. L'exploitation de cette vulnérabilité permet de réaliser une injection de code indirecte (Cross Site Scripting).
  • la dernière vulnérabilité provient d'une erreur dans la manière dont les scripts sont bloqués lors de la visualisation du collecteur de nouvelles (news feed). L'exploitation de cette vulnérabilité permet l'atteinte à la confidentialité des données de l'utilisateur.

Solution

Installer la version 9.61 du navigateur Opera, comme indiqué dans le bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité Opera du 21 octobre 2008 :

http://www.opera.com/support/search/view/903/
http://www.opera.com/support/search/view/904/
http://www.opera.com/support/search/view/905/