S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 octobre 2009
N° CERTA-2009-AVI-460
Affaire suivie par: CERT-FR
le 28 octobre 2009

Avis du CERT-FR

Objet: Vulnérabilités dans Opera

Gestion du document

Référence CERTA-2009-AVI-460
Titre Vulnérabilités dans Opera
Date de la première version 28 octobre 2009
Date de la dernière version 28 octobre 2009
Source(s) Bulletins de sécurité Opera
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Opera versions antérieures à 10.01.

Résumé

Des vulnérabilités dans Opera permettent notamment une exécution de code arbitraire à distance.

Description

Trois vulnérabilités ont été découvertes dans Opera :

  • certains noms de domaine spécifiques peuvent provoquer une corruption de la mémoire. Cette vulnérabilité peut être exploitée pour exécuter du code arbitraire à distance ;
  • les scripts sont autorisés à être exécutés sur la page d'inscription aux flux ce qui peut être utilisé pour s'abonner automatiquement ou lire des flux non prévus ;
  • dans certains cas, une police Web prévue pour le contenu d'une page peut être utilisée pour l'affichage de l'interface utilisateur. Un site malintentionné peut exploiter cette vulnérabilité pour afficher un faux nom de domaine dans la barre de navigation.

Solution

Mettre Opera à jour en version 10.01.

Documentation

Gestion détaillée du document

    le 28 octobre 2009
    version initiale.