XMCO : La dernière version du navigateur internet Opera n’a pas totalement corrigé une vulnérabilité critique
octobre 2008 par XMCO PARTNERS
– Date : 28 Octobre 2008
– Plateformes :
* Windows
* Mac OS X
* Linux
– Programme : Opera
– Gravité : Urgente
– Exploitation : Avec une page web malicieuse
– Dommage : Accès au système
– Description :
Le chercheur Aviv Raff vient de trouver une nouvelle méthode afin d’exploiter une vulnérabilité qui devait être corrigée depuis plusieurs jours. En effet, la version 9.61 devait résoudre une vulnérabilité permettant de prendre le contrôle d’un système via la simple visualisation d’une page web.
La faille de sécurité résulte d’un manque de contrôle au sein de la recherche de l’historique. Plus d’informations sur cette vulnérabilité sont disponibles dans les bulletins XMCO nº 1224761288 et nº 1224780962 [1-2].
Cette vulnérabilité critique permet à un attaquant de faire télécharger à sa victime un programme malicieux et de l’exécuter. Il est alors possible de prendre le contrôle du système vulnérable.
L’éditeur Opera est actuellement en cours d’investigation afin de corriger au plus vite cette vulnérabilité dans la version 9.62 du navigateur disponible prochainement.
– Vulnérable :
* Opera versions 9.51 à 9.61
– Référence :
http://www.theregister.co.uk/2008/10/27/zero_day_opera_bug/
[1] http://xmcopartners.com/veille/preprod/index.xmco?nv=1224780962
[2] http://xmcopartners.com/veille/preprod/index.xmco?nv=1224761288
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4725
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4696
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4697
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4698
– Correction :
La version 9.62 d’Opera, prochainement disponible, corrigera cette faille de sécurité.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1225210733