Vigil@nce : Opera, multiples vulnérabilités
août 2008 par Vigil@nce
SYNTHÈSE
Plusieurs vulnérabilités ont été découvertes dans Opera.
Gravité : 4/4
Conséquences : accès/droits administrateur, accès/droits
privilégié, lecture de données, transit de données, déni de
service du service
Provenance : serveur internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 20/08/2008
Référence : VIGILANCE-VUL-8045
PRODUITS CONCERNÉS
– Microsoft Windows - plateforme
DESCRIPTION
Si Opera est déclaré pour prendre en charge certains protocoles,
le navigateur peut être démarré par un programme externe et
utilisé pour exécuter du code. [grav:4/4 ; 892]
La vulnérabilité permet à un site de modifer le contenu des
fenêtres d’autre sites. Cela permet à un attaquant de faire du
phishing en affichant de fausses informations dans une page web.
[grav:3/4 ; 893]
Un raccourci vers Opera peut contenir des paramètres illégitimes
générant un crash de l’application. Cela peut être utilisé pour
exécuter du code. [grav:2/4 ; 894]
Une page web dangeureuse est qualifiée de sécurisée par Opera,
juste si elle contient une frame d’un site sécurisé. [grav:1/4 ;
895]
Lors d’un clic sur un lien vers un fichier stocké localement,
Opera bloque le chargement, par contre il n’en est rien pour un
flux RSS. [grav:1/4 ; 896]
Lors de l’inscription auprès d’un nouveau flux RSS, il est
possible d’attribuer une autre adresse au flux. [grav:1/4 ; 897]
CARACTÉRISTIQUES
Références : 892, 893, 894, 895, 896, 897, VIGILANCE-VUL-8045