S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 juillet 2008
N° CERTA-2008-AVI-362
Affaire suivie par: CERT-FR
le 10 juillet 2008

Avis du CERT-FR

Objet: Vulnérabilités dans Opera

Gestion du document

Référence CERTA-2008-AVI-362
Titre Vulnérabilités dans Opera
Date de la première version 10 juillet 2008
Date de la dernière version 10 juillet 2008
Source(s) Bulletins de version Opera du 03 juillet 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Opera 9.5 et versions antérieures.

Résumé

Plusieurs vulnérabilités affectent le navigateur Opera. L'une d'elles permet à un utilisateur malveillant d'exécuter du code arbitraire à distance

Description

Plusieurs vulnérabilités affectent le navigateur Opera :

  • des problèmes dans les échanges OCSP et dans la consultation des informations de révocation ne permettent pas de valider correctement les certificats de clés publiques ;
  • le traitement défectueux des objets <canvas> permet à un utilisateur malveillant d'accéder indûment à des données sur le système vulnérable ;
  • sur les systèmes Microsoft Windows, un utilisateur malveillant peut exploiter une vulnérabilité pour exécuter du code arbitraire à distance (CVE-2008-3079).

Solution

La version 9.51 du navigateur Opera remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 juillet 2008
    version initiale.