S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 septembre 2005
N° CERTA-2005-AVI-355
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans le client de messagerie d'Opera

Gestion du document

Référence CERTA-2005-AVI-355
Titre Vulnérabilités dans le client de messagerie d'Opera
Date de la première version20 septembre 2005
Date de la dernière version29 septembre 2005
Source(s) Mise à jour de sécurité Opera version 8.02
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Opera version 8.02 et versions antérieures.

Description

Deux vulnérabilités dans le client de messagerie d'Opera permettent, en les combinant, l'exécution de javascript malicieux.

  • La première vulnérabilité permet de masquer l'extension réelle d'un fichier attaché en lui ajoutant le caractère point (".").
  • La deuxième vulnérabilité permet l'ouverture non contrôlée des fichiers attachés, ce qui peut permettre l'exécution de javascript malicieux.

Solution

La version 8.50 du navigateur Opera corrige ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 septembre 2005
    version initiale.
    le 29 septembre 2005
    ajout des références CVE, de la page de mise à jour Opera et de la mise à jour de Suse.