S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 janvier 2009
N^o CERTA-2008-ALE-014-001

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Vulnérabilité dans Opera

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-014

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2008-ALE-014-001
Titre	Vulnérabilité dans Opera
Date de la première version	20 novembre 2008
Date de la dernière version	06 janvier 2009
Source(s)	Bulletin de sécurité Secunia 32752 du 18 novembre 2008
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire.

2 Systèmes affectés

Opera version 9.62 pour Windows.

3 Résumé

Une vulnérabilité présente dans Opera permet à une personne malveillante d'exécuter du code arbitaire.

4 Description

Une vulnérabilité présente dans la gestion des références à des adresses (URI) de type « file:// », particulièrement longues, permet à un utilisateur malveillant d'exécuter du code arbitraire, à la suite d'un débordement de mémoire, par le biais d'un fichier au format HTML spécialement construit.

L'exploitation de cette vulnérabilité nécessite que le fichier malveillant au format HTML soit présent localement sur la machine. Le savoir faire nécessaire à l'exploitation de cette vulnérabilité circule sur l'Internet.

5 Contournement provisoire

Dans l'attente d'un correctif de la part de l'éditeur, plusieurs alternatives existent :

restreindre l'ouverture de fichier locaux uniquement à ceux de confiance ;
utiliser un navigateur alternatif, notament pour l'ouverture de fichiers locaux ;
changer de navigateur pour l'ouverture par défaut de fichiers au format HTML.

6 Solution

Se référer au changement de version 9.63 d'Opera pour l'obtention des correctifs (cf. section Documentation).

7 Documentation

Bulletin de sécurité Secunia 32752 du 18 novembre 2008 :
```
http://secunia.com/Advisories/32752/
```
Notes de changement de version 9.63 d'Opera pour Windows :
```
http://www.opera.com/docs/changelogs/windows/963/
```
Article 920 de la base de connaissance pour Opera :
```
http://www.opera.com/support/kb/view/920/
```
Article 921 de la base de connaissance pour Opera :
```
http://www.opera.com/support/kb/view/921/
```
Article 922 de la base de connaissance pour Opera :
```
http://www.opera.com/support/kb/view/922/
```
Article 923 de la base de connaissance pour Opera :
```
http://www.opera.com/support/kb/view/923/
```
Article 924 de la base de connaissance pour Opera :
```
http://www.opera.com/support/kb/view/924/
```

Gestion détaillée du document

20 novembre 2008: version initiale.
06 janvier 2009: ajout de la référence à la version 9.63 d'Opera.

CERTA
2012-01-04