Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Opera, vulnérabilités du gestionnaire de mots de passe

décembre 2008 par Vigil@nce

Plusieurs vulnérabilités ou faiblesses du gestionnaire de mots de passe peuvent permettre à un attaquant d’obtenir le mot de passe d’un site.

- Gravité : 2/4
- Conséquences : lecture de données
- Provenance : serveur internet
- Moyen d’attaque : aucun démonstrateur, aucune attaque
- Compétence de l’attaquant : expert (4/4)
- Confiance : source unique (2/5)
- Diffusion de la configuration vulnérable : moyenne (2/3)
- Nombre de vulnérabilités dans ce bulletin : 14
- Date création : 16/12/2008

PRODUITS CONCERNÉS

- Opera

DESCRIPTION

Le gestionnaire de mots de passe stocke les mots de passe de l’utilisateur. Il saisit automatiquement le mot de passe de l’utilisateur dans les formulaires. Cette fonctionnalité comporte plusieurs vulnérabilités ou faiblesses.

Le mot de passe d’un deuxième site peut écraser le premier mot de passe. [grav:1/4]

Le mot de passe est saisi dans un formulaire appartenant à un autre site, sans afficher de warning. [grav:1/4]

Le mot de passe est saisi dans un formulaire ayant un chemin d’accès différent. [grav:2/4]

Le mot de passe d’un deuxième chemin d’accès peut écraser le premier mot de passe. [grav:1/4]

Le mot de passe d’un deuxième protocole peut écraser le premier mot de passe. [grav:1/4]

Le mot de passe est saisi dans un formulaire utilisant un protocole différent, sans afficher de warning. [grav:1/4]

L’utilisateur peut demander le mot de passe en utilisant un protocole peu sécurisé. [grav:2/4]

Le mot de passe est saisi dans un formulaire, même si la fonctionnalité "autocomplete" est désactivée. [grav:2/4]

Le mot de passe est saisi dans un formulaire utilisant une méthode HTTP différente, comme "GET". [grav:1/4]

Le mot de passe est saisi dans un formulaire utilisant une méthode HTTP différente, sans afficher de warning. [grav:1/4]

Plusieurs chemins différents ne peuvent pas avoir de mot de passe différents. [grav:1/4]

Plusieurs ports différents ne peuvent pas avoir de mot de passe différents. [grav:1/4]

Plusieurs protocoles différents ne peuvent pas avoir de mot de passe différents. [grav:1/4]

Le mot de passe associé à un compte est changé sans demander à l’utilisateur. [grav:1/4]

CARACTÉRISTIQUES

- Références : VIGILANCE-VUL-8334
- Url : http://vigilance.fr/vulnerabilite/8334




Voir les articles précédents

    

Voir les articles suivants