S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 janvier 2011
N° CERTA-2011-AVI-037
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Opera

Gestion du document

Référence CERTA-2011-AVI-037
Titre Vulnérabilités dans Opera
Date de la première version27 janvier 2011
Date de la dernière version27 janvier 2011
Source(s) Annonce des changements apportés par la version 11.01 d'Opera du 27 janvier 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

Opera 11.00.

Résumé

Plusieurs vulnérabilités sont présentes dans Opera. L'une d'elles permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités affectent Opera :

  • des données de grande taille dans des formulaires web peuvent provoquer un arrêt inopiné d'Opera et, dans certaines circonstances, permettent l'exécution de code arbitraire à distance ;
  • les protections contre le clickjacking peuvent être contournées au moyen d'URL opera: ;
  • certaines réponses HTTP permettent au serveur distant d'élever ses privilèges et d'obtenir des informations présentes sur le poste client ;
  • un problème dans le gestionnaire de téléchargement permet à un utilisateur malveillant d'exécuter du code arbitraire. Il doit convaincre un utilisateur local légitime d'effectuer certaines opérations ;
  • l'effacement des données privées n'a pas l'effet désiré.

Solution

La version 11.01 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 janvier 2011
    version initiale.