Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Opera data: URI Handler Spoofing Vulnérabilité

22/01/2007 08H53
Référence Secunia : SA13818 
Date de publication : 2005-01-12
Dernière mise à jour : 2005-02-21

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Spoofing
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Opera 5.x
Opera 6.x
Opera 7.x

Référence CVE :
CVE-2005-0456


Description :
Michael Holzt a découvert une vulnérabilité dans Opera, qui pourrait être exploitée par des personnes malintentionnées pour pousser des utilisateurs à exécuter des fichiers malicieux.

La vulnérabilité est causée du fait d'une erreur dans le traitement de "data:" URIs, entrainant wrong information à être montré dans a télécharger dialog. Cela pourrait être exploité par ex. un site web malicieux pour pousser des utilisateurs à exécuter un fichier malicieux en fournissant a specially crafted "data:" URI.

La vulnérabilité a été confirmée sur version 7.54u1 pour Windows. Les autres versions pourraient également être affectées.


Solutions :
Mettre à jour en version 7.54u2.
http://www.opera.com/download/


Vulnérabilité découverte par :

Michael Holzt
Historique :
2005-01-24: Ajout d'un lien à une note de vulnérabilité du US-CERT.
2005-02-07: Section "Solution" mise à jour.
2005-02-21: Référence CVE ajoutée.


Autres références :

US-CERT VU#882926:
http://www.kb.cert.org/vuls/id/882926




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.