S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 mars 2010
N° CERTA-2010-AVI-131
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Opera

Gestion du document

Référence CERTA-2010-AVI-131
Titre Vulnérabilités dans Opera
Date de la première version23 mars 2010
Date de la dernière version23 mars 2010
Source(s) Bulletins de sécurité Opera

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

Opera pour Windows.

Résumé

Une mise à jour d'Opera corrige deux vulnérabilités permettant notamment d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans Opera pour Windows :

  • une grande valeur du paramètre Content-Length dans l'entête HTTP permet une exécution de code arbitraire à distance ;
  • XSLT (eXtensible Stylesheet Language Transformations - transformation d'un document XML vers un autre) peut être détourné pour récupérer les contenus provenant d'autres sites Web (version 10.50 seulement).

Solution

Mettre Opera à jour en version 10.51 (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 mars 2010
    version initiale.