S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 janvier 2011
N° CERTA-2011-AVI-037
Affaire suivie par: CERT-FR
le 27 janvier 2011

Avis du CERT-FR

Objet: Vulnérabilités dans Opera

Gestion du document

Référence CERTA-2011-AVI-037
Titre Vulnérabilités dans Opera
Date de la première version 27 janvier 2011
Date de la dernière version 27 janvier 2011
Source(s) Annonce des changements apportés par la version 11.01 d'Opera du 27 janvier 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Opera 11.00.

Résumé

Plusieurs vulnérabilités sont présentes dans Opera. L'une d'elles permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités affectent Opera :

  • des données de grande taille dans des formulaires web peuvent provoquer un arrêt inopiné d'Opera et, dans certaines circonstances, permettent l'exécution de code arbitraire à distance ;
  • les protections contre le clickjacking peuvent être contournées au moyen d'URL opera: ;
  • certaines réponses HTTP permettent au serveur distant d'élever ses privilèges et d'obtenir des informations présentes sur le poste client ;
  • un problème dans le gestionnaire de téléchargement permet à un utilisateur malveillant d'exécuter du code arbitraire. Il doit convaincre un utilisateur local légitime d'effectuer certaines opérations ;
  • l'effacement des données privées n'a pas l'effet désiré.

Solution

La version 11.01 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 janvier 2011
    version initiale.