Vigil@nce : Opera, deux vulnérabilités
mars 2010 par Vigil@nce
Deux vulnérabilités ont été annoncées dans Opera, dont l’une
permet d’injecter des données dans une session TLS.
– Gravité : 2/4
– Conséquences : création/modification de données
– Provenance : serveur internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 02/03/2010
PRODUITS CONCERNÉS
– Opera
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans Opera.
Un attaquant distant peut exploiter une vulnérabilité de TLS pour
insérer des données lors d’une renégociation via une attaque de
type man-in-the-middle (VIGILANCE-VUL-9181
(https://vigilance.fr/arbre/1/9181)). [grav:2/4 ; BID-36935,
CVE-2009-3555, VU#120541]
Une autre vulnérabilité a été annoncée, mais ses détails
techniques ne sont pas connus. [grav:2/4]
CARACTÉRISTIQUES
– Références : BID-36935, CVE-2009-3555, VIGILANCE-VUL-9484,
VU#120541
– Url : http://vigilance.fr/vulnerabilite/Opera-deux-vulnerabilites-9484