Vigil@nce : Opera, vulnérabilités du gestionnaire de mots de passe
décembre 2008 par Vigil@nce
Plusieurs vulnérabilités ou faiblesses du gestionnaire de mots de
passe peuvent permettre à un attaquant d’obtenir le mot de passe
d’un site.
– Gravité : 2/4
– Conséquences : lecture de données
– Provenance : serveur internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : source unique (2/5)
– Diffusion de la configuration vulnérable : moyenne (2/3)
– Nombre de vulnérabilités dans ce bulletin : 14
– Date création : 16/12/2008
PRODUITS CONCERNÉS
– Opera
DESCRIPTION
Le gestionnaire de mots de passe stocke les mots de passe de
l’utilisateur. Il saisit automatiquement le mot de passe de
l’utilisateur dans les formulaires. Cette fonctionnalité comporte
plusieurs vulnérabilités ou faiblesses.
Le mot de passe d’un deuxième site peut écraser le premier mot de
passe. [grav:1/4]
Le mot de passe est saisi dans un formulaire appartenant à un
autre site, sans afficher de warning. [grav:1/4]
Le mot de passe est saisi dans un formulaire ayant un chemin
d’accès différent. [grav:2/4]
Le mot de passe d’un deuxième chemin d’accès peut écraser le
premier mot de passe. [grav:1/4]
Le mot de passe d’un deuxième protocole peut écraser le premier
mot de passe. [grav:1/4]
Le mot de passe est saisi dans un formulaire utilisant un
protocole différent, sans afficher de warning. [grav:1/4]
L’utilisateur peut demander le mot de passe en utilisant un
protocole peu sécurisé. [grav:2/4]
Le mot de passe est saisi dans un formulaire, même si la
fonctionnalité "autocomplete" est désactivée. [grav:2/4]
Le mot de passe est saisi dans un formulaire utilisant une méthode
HTTP différente, comme "GET". [grav:1/4]
Le mot de passe est saisi dans un formulaire utilisant une méthode
HTTP différente, sans afficher de warning. [grav:1/4]
Plusieurs chemins différents ne peuvent pas avoir de mot de passe
différents. [grav:1/4]
Plusieurs ports différents ne peuvent pas avoir de mot de passe
différents. [grav:1/4]
Plusieurs protocoles différents ne peuvent pas avoir de mot de
passe différents. [grav:1/4]
Le mot de passe associé à un compte est changé sans demander à
l’utilisateur. [grav:1/4]
CARACTÉRISTIQUES
– Références : VIGILANCE-VUL-8334
– Url : http://vigilance.fr/vulnerabilite/8334