Sécurité : Opera 9.61 n'a pas bien corrigé

La semaine dernière, Opera Software a mis en ligne la première révision de maintenance d'Opera 9.6, essentiellement pour corriger un ensemble de trois vulnérabilités de sécurité. Parmi ces vulnérabilités, une qualifiée d'extrêmement sévère par l'éditeur norvégien était relative à la fonctionnalité de recherche de l'historique, avec une exploitation permettant à un attaquant distant de lire l'historique de navigation après visite par l'utilisateur d'une page Web spécialement conçue. Des chercheurs en sécurité ont indiqué qu'une nouvelle vulnérabilité annoncée plus dangereuse avait pour origine la même portion de code.

C'est en étudiant la précédente vulnérabilité XSS de l'historique de recherche que Roberto Suggi Liverani, Stefano Di Paola et Aviv Raff - un nom que l'on connaît bien -, ont découvert une autre faille de type exécution de code à distance. Raff a sous la main une preuve de concept qu'il a décidé de publier une fois qu'Opera aura résolu le problème. Se confiant à The Register, il a indiqué : " Le problème corrigé précédemment était en rapport avec les liens affichés dans l'historique de recherche. Le problème non corrigé concerne les liens Précédent/Suivant de la page de l'historique elle-même ". Tant les versions Windows que Mac OS X et Linux d'Opera sont concernées.

Opera Software travaille au comblement de cette nouvelle faille et selon un porte-parole de la société, Opera 9.62 sera disponible très rapidement. Il a également déclaré : " Nous apprécions que des personnes recherchent des vulnérabilités de sécurité dans nos produits. Nous les voulons aussi robustes que possible ".