S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 juillet 2007
N° CERTA-2007-AVI-324
Affaire suivie par: CERT-FR
le 20 juillet 2007

Avis du CERT-FR

Objet: Multiples vulnérabilités du navigateur Opera

Gestion du document

Référence CERTA-2007-AVI-324
Titre Multiples vulnérabilités du navigateur Opera
Date de la première version 20 juillet 2007
Date de la dernière version 20 juillet 2007
Source(s) Bulletins de sécurité Opera #862, #863 et #864 du 19 juillet 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • usurpation d'adresse réticulaire.

Systèmes affectés

Opera versions 9.21 et antérieures.

Résumé

Plusieurs vulnérabilités dans le navigateur Opera permettent à un utilisateur distant d'exécuter du code arbitraire.

Description

Plusieurs vulnérabilités sont présentes dans le navigateur Opera :

  • la première relative à la mise en œuvre du protocole de pair-à-pair BitTorrent est présente dans le navigateur Opera. L'exploitation de cette faille requiert que la victime clique sur un lien vers un fichier de type Bittorent construit de façon particulière puis enlève la référence au fichier correspondant dans le gestionnaire de téléchargement ;
  • deux autres vulnérabilités concernent la possibilité pour un utilisateur malintentionné de faire afficher dans la barre d'adresse du navigateur une URL arbitraire.

Solution

La version 9.22 de Opera corrige le problème : 

http://www.opera.com/download/

Documentation

Bulletin de sécurité Opera n˚862 : 

http://www.opera.com/support/search/view/862

Bulletin de sécurité Opera n˚863 :

http://www.opera.com/support/search/view/863

Bulletin de sécurité Opera n˚864 :

http://www.opera.com/support/search/view/864

Gestion détaillée du document

    le 20 juillet 2007
    version initiale.