Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Opera versions 10.53 et antérieures.
Résumé
Plusieurs vulnérabilités dans Opera permettent d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été découvertes dans Opera. Seuls les détails de l'une d'entre elles ont été dévoilés.
Un problème dans la gestion de certaines polices de caractères par Windows permet une élévation de privilèges. Cette vulnérabilité a fait l'objet d'un correctif de Microsoft (voir avis CERTA-2010-AVI-244), mais est exploitable au travers d'Opera sur les systèmes non mis à jour, ce qui permet donc l'exécution de code arbitraire à distance. Opera Software a publié un correctif qui protège l'exploitation de cette vulnérabilité via le navigateur, même sur les systèmes non mis à jour.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis CERTA-2010-AVI-244 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-244/
- Bulletin de sécurité 954 d'Opera : http://www.opera.com/support/kb/view/954/
- Notes de la version 10.54 d'Opera pour Windows du 21 juin 2010 : http://www.opera.com/docs/changelogs/windows/1054/
- Référence CVE CVE-2010-1255 https://www.cve.org/CVERecord?id=CVE-2010-1255
