Deux failles dans Opera. Version 8.02 conseillée
Sandblad et Jakob Balle, deux chercheurs des laboratoires de sécurité ...
Sandblad et Jakob Balle, deux chercheurs des laboratoires de sécurité Secunia, viennent de trouver une double vulnérabilité dans Opera. Forte heureusement, la mise à jour de sécurité est d'ores et déjà disponible.
La première des failles peut être exploitée pour forcer un usager à exécuter un fichier donné. Le bug a été déniché dans la boite de dialogue de téléchargement et permet donc une attaque par "spoofing" afin de leurrer l'utilisateur. Elle s'attache spécialement à l'entête "Content Disposition" qui peut du coup être piégée.
Elle exige que la police Arial Unicode MS" (ARIALUNI.TTF) soit installée sur la machine, ce qui est le cas sur la plupart des versions de Windows. La faille frappe la version 8.01 d'Opera et sans doute ses sœurs plus anciennes.
La seconde est de type Cross Site Scripting. Elle s'inscrit dans la manipulation (cliquer/déposer) des images ou des liens, manipulations qui reposent sur un "Uniform Resource Identifier" ou URI Javascript. La vulnérabilité a là encore été confirmée dans la versions 8.01 et les versions antérieures sont également susceptibles d'être affectées.
Les failles ont été classées modérément critiques par Secunia. La solution est donc simple ici : elle consistera à mettre son navigateur Opera à jour vers la version 8.02. Le tout se téléchargera depuis la page officiel de l'éditeur d'où l'on pourra consulter le changelog.
On notera au passage l'éditeur annonce une petite marche arrière. A savoir que cette version 8.02 finalisée n'intègre plus le protocole Bitorrent, comme sa préversion "technique" sortie le 7 juillet. Opera étudie encore si cette adjonction se fera ou non dans les prochaines versions. Toutefois, entre sécurité et fonctionnalité, le choix ne sera pas trop complexe à faire.
La première des failles peut être exploitée pour forcer un usager à exécuter un fichier donné. Le bug a été déniché dans la boite de dialogue de téléchargement et permet donc une attaque par "spoofing" afin de leurrer l'utilisateur. Elle s'attache spécialement à l'entête "Content Disposition" qui peut du coup être piégée.
Elle exige que la police Arial Unicode MS" (ARIALUNI.TTF) soit installée sur la machine, ce qui est le cas sur la plupart des versions de Windows. La faille frappe la version 8.01 d'Opera et sans doute ses sœurs plus anciennes.
La seconde est de type Cross Site Scripting. Elle s'inscrit dans la manipulation (cliquer/déposer) des images ou des liens, manipulations qui reposent sur un "Uniform Resource Identifier" ou URI Javascript. La vulnérabilité a là encore été confirmée dans la versions 8.01 et les versions antérieures sont également susceptibles d'être affectées.
Les failles ont été classées modérément critiques par Secunia. La solution est donc simple ici : elle consistera à mettre son navigateur Opera à jour vers la version 8.02. Le tout se téléchargera depuis la page officiel de l'éditeur d'où l'on pourra consulter le changelog.
On notera au passage l'éditeur annonce une petite marche arrière. A savoir que cette version 8.02 finalisée n'intègre plus le protocole Bitorrent, comme sa préversion "technique" sortie le 7 juillet. Opera étudie encore si cette adjonction se fera ou non dans les prochaines versions. Toutefois, entre sécurité et fonctionnalité, le choix ne sera pas trop complexe à faire.
Marc Rees
le 29 juillet 2005 à 12:32
(5 775
lectures)
Actualités et brèves relatives
- 07 / 07 / 2005 : Opera s'allie avec Trolltech pour porter son navigateur
- 07 / 07 / 2005 : Opera rend son navigateur compatible BitTorrent
- 17 / 06 / 2005 : Trois failles dans le navigateur Opera
- 18 / 04 / 2005 : Opera 8 en version finale est enfin disponible
- 18 / 03 / 2005 : Opera adopte Nokia qui adopte Opera qui...
- 17 / 03 / 2005 : Opera lance un défi à Microsoft et Internet Explorer 7
