Affichage hiérarchique

Swissky · (Modification du message : 07-10-2012, 12h44 par Swissky.)

Opera est vulnérable de la version 9.50 à la 12.02 !

Une vulnérabilité cross-site scripting dite « universelle » qui touche le navigateur
Opera a été divulguée aujourd’hui sur le forum russe rdot.org. La faille a la capacité d’être déclenchée en exploitant des failles au sein même du navigateur, au lieu de tirer parti des vulnérabilités présentes sur des sites Web non sécurisés.

Voici les versions vulnérables du navigateur Opéra : de la version 9.50 à 12.02 (inclue), la dernière version en date, sous Windows, Mac et Linux. C’est la redirection qui est en cause et plus particulièrement l’en-tête HTTP document.domain.

La vulnérabilité utilise le système d’adresse URI en combinant cela avec une autre faille appelée « open redirection » qui a lieu quand un attaquant peut utiliser la page Web pour rediriger l’utilisateur vers une URI de son choix.

Cette XSS peut être déclenchée à l’aide de divers services de raccourcissement d’URL comme bit.ly ou tinyurl.com. Voici un lien proof-of-concept sur tinyurl : ICI. Si vous ouvrez ce lien dans Opera, vous vous retrouverez avec une boîte d’alerte disant « tinyurl.com ».

Cela signifie que le code JavaScript s’exécute sur le domaine tinyurl.com. A cause de cela, un attaquant pourrait lire des données en relation avec le domaine et de voler les cookies des utilisateurs.

Pour plus de détails (en anglais), le site Detectify a fait un article sur la faille de sécurité touchant Opera.

Afin de se protéger temporairement, vous pouvez effectuer ce paramétrage :

Citation :Réglages -> Préférences -> Avancé -> Réseau puis désactivez la redirection automatique.

ATTENTION : Rien n'a été dis pour le navigateur sur Android et iOS, il est possible que celui-ci soit aussi affecté par ce problème de sécurité!

Merci à ThibauT pour le screen de la vulnérabilité sur iOS : http://n-pn.fr/forum/attachment.php?aid=33

Source :
http://www.undernews.fr/reseau-securite/...opera.html
http://blog.detectify.com/post/329471965...s-in-opera

**ark** · 07-10-2012, 11h03

J'en avais entendu parler il y a 1 ou 2 jours déjà. C'est bien de le faire savoir a tout le monde ^^

spin · (Modification du message : 07-10-2012, 12h52 par spin.)

Je n'utilise plus Opera sur desktop mais je peux essayer de voir si la vulnérabilité est présente sur la version Opera Mobile 10 pour Symbian OS (Nokia).

Merci pour le signalement en tout cas.

EDIT : j'ai testé, la vulnérabilité est présente sur Opera Mobile 10 (je m'y attendais).

ThibauT · (Modification du message : 07-10-2012, 11h54 par ThibauT.)

Je viens de tester : la vulnérabilité est présente sur la version d'opera pour iOS !

J'ai mis le screen en pièce jointe.

Swissky · 07-10-2012, 11h57

C'est bien ce que je pensai ^^", merci pour l'info Smile

OverDreams · 07-10-2012, 12h09

Je n'utilise Opera que sur IOS , je pense qu'il vont bientôt sortir une mise à jours !

ThibauT · 07-10-2012, 12h23

(07-10-2012, 11h57)Swissky a écrit : C'est bien ce que je pensai ^^", merci pour l'info

De rien

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Vulnérabilité exploitable à distance	formollover	0	793	25-09-2014, 20h40 Dernier message: formollover

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler