Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Opera version 9.62 pour Windows.

Résumé

Une vulnérabilité présente dans Opera permet à une personne malveillante d'exécuter du code arbitaire.

Description

Une vulnérabilité présente dans la gestion des références à des adresses (URI) de type « file:// », particulièrement longues, permet à un utilisateur malveillant d'exécuter du code arbitraire, à la suite d'un débordement de mémoire, par le biais d'un fichier au format HTML spécialement construit.

L'exploitation de cette vulnérabilité nécessite que le fichier malveillant au format HTML soit présent localement sur la machine. Le savoir faire nécessaire à l'exploitation de cette vulnérabilité circule sur l'Internet.

Contournement provisoire

Dans l'attente d'un correctif de la part de l'éditeur, plusieurs alternatives existent :

  • restreindre l'ouverture de fichier locaux uniquement à ceux de confiance ;
  • utiliser un navigateur alternatif, notament pour l'ouverture de fichiers locaux ;
  • changer de navigateur pour l'ouverture par défaut de fichiers au format HTML.

Solution

Se référer au changement de version 9.63 d'Opera pour l'obtention des correctifs (cf. section Documentation).

Documentation