S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 octobre 2003
N° CERTA-2003-AVI-173
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du navigateur et du client de messagerie Opera

Gestion du document

Référence CERTA-2003-AVI-173
Titre Vulnérabilité du navigateur et du client de messagerie Opera
Date de la première version27 octobre 2003
Date de la dernière version21 novembre 2003
Source(s) Avis de sécurité Atstake a102003-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Opera versions 7.11 et 7.20.

Résumé

Une vulnérabilité dans le navigateur et le client de messagerie Opera permet à un utilisateur mal intentionné de faire exécuter par Opera du code arbitraire via une page HTML habilement construite.

Description

Opera est un navigateur et un client de messagerie disponible sur de nombreuses plates-formes. Le traitement du champ HREF dans une page HTML présente une vulnérabilité de type débordement de mémoire. Un utilisateur mal intentionné peut fabriquer une page HTML ou un courrier électronique avec un champ HREF contenant du code qui sera exécuté sur le système par l'intermédiaire du navigateur Opera.

Solution

Mettre à jour Opera en version 7.21. La nouvelle version est disponible sur le site d'Opera :

http://www.opera.com/download/

Documentation

Gestion détaillée du document

    le 27 octobre 2003
    version initiale.
    le 28 octobre 2003
    première révision : correction de la référence CVE.
    le 21 novembre 2003
    seconde révision : ajout du bulletin de sécurité Gentoo.