S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 23 novembre 2009 No CERTA-2009-AVI-509

Affaire suivie par :

CERTA

Objet : Vulnérabilités dans Opera

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• injection de requêtes illégitimes par rebond.

2 Systèmes affectés

Opera versions antérieures à 10.10.

3 Résumé

Deux vulnérabilités dans Opera, permettant notamment l'exécution de code arbitraire à distance, ont été corrigées.

4 Description

Deux vulnérabilités ont été découvertes dans Opera :

• dans certains cas, les messages d'erreur renvoyés lors de la consultation d'une page peuvent être transmis à d'autres sites en tant que contenu de variables ;
• une exécution de code arbitraire à distance est possible en envoyant de longues chaînes de caractères au convertisseur de chaîne en nombre.

5 Solution

Mettre Opera à jour en version 10.10 (cf. section Documentation).

6 Documentation

• Bulletins de sécurité Opera :

  http://www.opera.com/support/kb/view/941/
  

  http://www.opera.com/support/kb/view/942/
  

• Référence CVE CVE-2009-0689 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0689
  

Gestion détaillée du document

23 novembre 2009

version initiale.