Avis du CERTA : Multiples vulnérabilités dans Opera
octobre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Opera 9.x et les versions antérieures.
3 Résumé
De multiples vulnérabilités touchent le navigateur Opera permettant l’exécution
de code arbitraire à distance.
4 Description
* Une vulnérabilité permettrait à un individu malveillant de lancer un client
de messagerie ou de newsgroup externe à l’application et de compromettre
ainsi le système de l’utilisateur par l’exécution de code arbitraire. Cette
vulnérabilité est à mettre en relation avec l’alerte du CERTA sur la
gestion des URI par Microsoft Windows ;
* Une vulnérabilité exploitant une erreur dans la gestion de frame provenant
de différents sites web permettrait l’exécution de code arbitraire par le
navigateur ;
* Une vulnérabilité touche les utilisateurs d’Opera sur Mac OS X avec Adobe
Flash Player 9.0.47.0 et les versions antérieures. L’impact de cette
vulnérabilité n’est pas encore connu.
5 Solution
Se référer au bulletin de sécurité d’Opera pour l’obtention des correctifs (cf.
section Documentation).
6 Documentation
* Alerte du CERTA du 11 octobre 2007 sur le traitement des URI sous Windows :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html
* Bulletin de sécurité d’Opera 866 :
http://www.opera.com/support/search/view/866
* Bulletin de sécurité d’Opera 867 :
http://www.opera.com/support/search/view/867
* Bulletin de sécurité d’Opera 868 :
http://www.opera.com/support/search/view/868
* Référence CVE CVE-2007-5476 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5476
* Référence CVE CVE-2007-5540 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5540
* Référence CVE CVE-2007-5541 :