Risques
- Exécution de code arbitraire à distance
- Usurpation du contenue de la barre de navigation
Systèmes affectés
Opera versions antérieures à 9.23.
Résumé
Deux vulnérabilités dans Opera permettent à une personne malintentionnée d'exécuter du code arbitraire à distance ou d'usurper le contenu de la barre de navigation de l'application.
Description
Une faille a été identifiée dans Opera, due à une erreur non spécifiée lors du traitement de code Javascript. Une personne peut ainsi exécuter du code arbitraire à distance sur le poste d'un utilisateur visitant une page web spécifiquement conçue.
Une seconde vulnérabilité dans Opera est causée par une erreur dans le traitement des URI (Universal Ressource Identifier) de type data:. Elle permet à un utilisateur malintentionné d'usurper le contenu de la barre de navigation au moyen d'une URI speécialement construite.
Solution
La version 9.23 d'Opera corrige ce problème (cf. section Documentation).
Documentation
- Bulletin de sécurité Opera http://www.opera.com/support/search/view/865/
- Bulletin de sécurité Gentoo GLSA-200708-17 du 22 août 2007 : http://www.gentoo.org/security/en/glsa/glsa-200708-17.xml
- Bulletin de sécurité SuSE SUSE-SR:2007:015 du 03 août 2007 : http://lists.opensuse.org/opensuse-security-announce/2007-08/msg00003.html
- Mise à jour Opera 9.23 : http://www.opera.com/download/
- Référence CVE CVE-2007-3819 https://www.cve.org/CVERecord?id=CVE-2007-3819
- Référence CVE CVE-2007-4367 https://www.cve.org/CVERecord?id=CVE-2007-4367
