Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Opera : Vulnérabilités Diverses

21/08/2008 13H02
Référence Secunia : SA31549 
Date de publication : 2008-08-20

Risque : Elevé. Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Spoofing, Exposition de données sensibles, DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Opera 5.x
Opera 6.x
Opera 7.x
Opera 8.x
Opera 9.x


Description :
Quelques vulnérabilités ont été identifiées dans Opera, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques par spoofing et cross-site scripting, contourner certaines restrictions de sécurité, divulguer potentiellement des informations sensibles, ou potentiellement compromettre le système d'un utilisateur.

1) Une erreur non spécifiée existe quand Opera est exécutée comme un protocol handler. Cela pourrait être exploité pour causer un plantage et potentiellement exécuter du code arbitraire.

NOTE : Il est rapporté que, la vulnérabilité affecte seulement Opera pour Windows.

2) Le problème est qu'une page web peut changer l'adresse of frames depuis d'autres sites ouvert dans une fenêtre pop-up. Cela pourrait être exploité pour charger du contenu malicieux dans un frame d'un site web de confiance.

3) Une erreur non spécifiée pourrait être exploitée pour conduire des attaques cross-site scripting. Aucune autre information n'est actuellement disponible.

4) Une erreur existe dans le traitement de custom shortcut et menu commands. Cela pourrait être exploité pour exécuter applications avec potentiellement dangerous parameters, créé depuis non initialisé memory.

Ce problème pourrait être exploité par un attaquant distant afin de compromettre une machine vulnérable, mais n'est possible seulement si un utilisateur est dupé inpour modifiering shortcuts ou menu files.

5) Une erreur existe pendant que reporting des sites web comme secure pour browsing. Cela pourrait être exploité afin de déterminer the reporting of an insécurisé website comme secure en incluant a frame avec content depuis a secure website.

6) Une erreur existe lors de la vérification si une page liens web vers un fichier local. Cela pourrait être exploité pour link à local feed source fichiers et potentiellement déterminer si un fichier est présent sur le système local.

7) Une erreur existe lors du traitement news feed subscription requests. Cela pourrait être exploité pour changer l'adresse field à l'adresse of la page web malicieuse et mislead a user.

Les vulnérabilités sont rapportées en versions inférieures à 9.52.
.

Solutions :
Mettre à jour en version 9.52.
http://www.opera.com/download/


Vulnérabilité découverte par :

L'éditeur crédite:
3) Chris Weber of Casaba Security
4) Michael A. Puls II
5) Lars Kleinschmidt

Référence :
http://www.opera.com/docs/changelogs/windows/952/

http://www.opera.com/support/search/view/892/
http://www.opera.com/support/search/view/893/
http://www.opera.com/support/search/view/894/
http://www.opera.com/support/search/view/895/
http://www.opera.com/support/search/view/896/
http://www.opera.com/support/search/view/897/




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.