Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte
Systèmes affectés
- Opera version 9.60 et versions antérieures.
- Opera versions 5.x ;
- Opera versions 6.x ;
- Opera versions 7.x ;
- Opera versions 8.x ;
Résumé
De multiples vulnérabilités ont été découverte dans les différentes versions du navigateur Opera. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.
Description
Trois vulnérabilités ont été découvertes dans le navigateur Opera :
- la première est due à une mauvaise gestion des URL ouvertes depuis l'historique et permet d'exécuter du code arbitraire sur la machine de la victime ;
- la deuxième est due à une mauvaise gestion de la fonctionnalité Fast Forward. L'exploitation de cette vulnérabilité permet de réaliser une injection de code indirecte (Cross Site Scripting).
- la dernière vulnérabilité provient d'une erreur dans la manière dont les scripts sont bloqués lors de la visualisation du collecteur de nouvelles (news feed). L'exploitation de cette vulnérabilité permet l'atteinte à la confidentialité des données de l'utilisateur.
Solution
Installer la version 9.61 du navigateur Opera, comme indiqué dans le bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Opera du 21 octobre 2008 : http://www.opera.com/support/search/view/904/ http://www.opera.com/support/search/view/905/ http://www.opera.com/support/search/view/903/
