Publié par UnderNews Actu - Télécharger l'application Android

Une vulnérabilité cross-site scripting dite “universelle” qui touche le navigateur Opera a été divulguée aujourd’hui sur le forum russe rdot.org. La faille a la capacité d’être déclenchée en exploitant des failles au sein même du navigateur, au lieu de tirer parti des vulnérabilités présentes sur des sites Web non sécurisés.

Voici les versions vulnérables du navigateur Opéra : de la version 9.50 à 12.02 (inclue), la dernière version en date, sous Windows, Mac et Linux. C’est la redirection qui est en cause et plus particulièrement l’en-tête HTTP document.domain.

La vulnérabilité utilise le système d’adresse URI en combinant cela avec une autre faille appelée “open redirection” qui a lieu quand un attaquant peut utiliser la page Web pour rediriger l’utilisateur vers une URI de son choix.

Bitdefender

Cette XSS peut être déclenchée à l’aide de divers services de raccourcissement d’URL comme bit.ly ou tinyurl.com. Voici un lien proof-of-concept sur tinyurl : ICI. Si vous ouvrez ce lien dans Opera, vous vous retrouverez avec une boîte d’alerte disant “tinyurl.com”.

Cela signifie que le code JavaScript s’exécute sur le domaine tinyurl.com. A cause de cela, un attaquant pourrait lire des données en relation avec le domaine et de voler les cookies des utilisateurs.

Pour plus de détails (en anglais), le site Detectify a fait un article sur la faille de sécurité touchant Opera.

Afin de se protéger temporairement, vous pouvez effectuer ce paramétrage : Réglages -> Préférences -> Avancé -> Réseau puis désactivez la redirection automatique.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 5,00 sur 5)
Loading...

Mots clés : , , , , , , ,


Vos réactions

Ils parlent du sujet :

  1. […] on https://www.undernews.fr Partager cet article:Print Pin ItShare on TumblrEmailDiggJ'aime ceci:J'aimeSoyez le premier à […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.