Vulnérabilité Opera
|
07-10-2012, 11h01
(Modification du message : 07-10-2012, 12h44 par Swissky.)
Message : #1
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
Vulnérabilité Opera
Opera est vulnérable de la version 9.50 à la 12.02 ! Une vulnérabilité cross-site scripting dite « universelle » qui touche le navigateur Opera a été divulguée aujourd’hui sur le forum russe rdot.org. La faille a la capacité d’être déclenchée en exploitant des failles au sein même du navigateur, au lieu de tirer parti des vulnérabilités présentes sur des sites Web non sécurisés. Voici les versions vulnérables du navigateur Opéra : de la version 9.50 à 12.02 (inclue), la dernière version en date, sous Windows, Mac et Linux. C’est la redirection qui est en cause et plus particulièrement l’en-tête HTTP document.domain. La vulnérabilité utilise le système d’adresse URI en combinant cela avec une autre faille appelée « open redirection » qui a lieu quand un attaquant peut utiliser la page Web pour rediriger l’utilisateur vers une URI de son choix. Cette XSS peut être déclenchée à l’aide de divers services de raccourcissement d’URL comme bit.ly ou tinyurl.com. Voici un lien proof-of-concept sur tinyurl : ICI. Si vous ouvrez ce lien dans Opera, vous vous retrouverez avec une boîte d’alerte disant « tinyurl.com ». Cela signifie que le code JavaScript s’exécute sur le domaine tinyurl.com. A cause de cela, un attaquant pourrait lire des données en relation avec le domaine et de voler les cookies des utilisateurs. Pour plus de détails (en anglais), le site Detectify a fait un article sur la faille de sécurité touchant Opera. Afin de se protéger temporairement, vous pouvez effectuer ce paramétrage : Citation :Réglages -> Préférences -> Avancé -> Réseau puis désactivez la redirection automatique.
ATTENTION : Rien n'a été dis pour le navigateur sur Android et iOS, il est possible que celui-ci soit aussi affecté par ce problème de sécurité!
Merci à ThibauT pour le screen de la vulnérabilité sur iOS : http://n-pn.fr/forum/attachment.php?aid=33 Source : http://www.undernews.fr/reseau-securite/...opera.html http://blog.detectify.com/post/329471965...s-in-opera |
|
07-10-2012, 11h03
Message : #2
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: Vulnérabilité Opera
J'en avais entendu parler il y a 1 ou 2 jours déjà. C'est bien de le faire savoir a tout le monde ^^
|
|
07-10-2012, 11h07
(Modification du message : 07-10-2012, 12h52 par spin.)
Message : #3
|
|
spin
Contributeur Messages : 325 Sujets : 15 Points: 38 Inscription : Nov 2011 |
RE: Vulnérabilité Opera
Je n'utilise plus Opera sur desktop mais je peux essayer de voir si la vulnérabilité est présente sur la version Opera Mobile 10 pour Symbian OS (Nokia).
Merci pour le signalement en tout cas. EDIT : j'ai testé, la vulnérabilité est présente sur Opera Mobile 10 (je m'y attendais). |
|
07-10-2012, 11h46
(Modification du message : 07-10-2012, 11h54 par ThibauT.)
Message : #4
|
|
ThibauT
Keyboard not found, press F1 to resume. Messages : 348 Sujets : 6 Points: 69 Inscription : Jun 2012 |
RE: Vulnérabilité Opera
Je viens de tester : la vulnérabilité est présente sur la version d'opera pour iOS !
J'ai mis le screen en pièce jointe. Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B |
|
07-10-2012, 11h57
Message : #5
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Vulnérabilité Opera
C'est bien ce que je pensai ^^", merci pour l'info
|
|
07-10-2012, 12h09
Message : #6
|
|
OverDreams
Membre actif Messages : 68 Sujets : 3 Points: 4 Inscription : Oct 2012 |
RE: Vulnérabilité Opera
Je n'utilise Opera que sur IOS , je pense qu'il vont bientôt sortir une mise à jours !
Code : While (1) {Orgasm;} |
|
07-10-2012, 12h23
Message : #7
|
|
ThibauT
Keyboard not found, press F1 to resume. Messages : 348 Sujets : 6 Points: 69 Inscription : Jun 2012 |
RE: Vulnérabilité Opera
Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Vulnérabilité exploitable à distance | formollover | 0 | 793 |
25-09-2014, 20h40 Dernier message: formollover |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)