Opera 10.50 : une faille hautement critique ?

Le par  |  10 commentaire(s)
Opera_icon

La récente version 10.50 d'Opera pour Windows souffre d'une vulnérabilité de sécurité exploitable à distance que la société Secunia qualifie de hautement critique.

Opera_iconLa société Secunia a émis un avis de sécurité plutôt controversé au sujet d'une vulnérabilité affectant la dernière et récente version 10.50 du navigateur Opera sous Windows, voire des versions antérieures.

Secunia classe ladite vulnérabilité hautement critique, soit le niveau 4 d'une échelle de dangerosité qui en comporte 5. Elle est due à une erreur de traitement de réponses HTTP dont l'en-tête Content-Length est malformé. Selon Secunia, cette erreur peut être exploitée afin de provoquer un dépassement de tampon et d'évoquer le risque d'une exécution de code arbitraire à distance.

VUPEN Security a également identifié le problème et fait aussi référence à une exploitation à distance pour cette vulnérabilité critique. Interrogé par The Register, un porte-parole d'Opera Software a néanmoins largement tempéré l'alerte.

Selon lui, le bug cause d'abord un plantage, mais quant à une exploitation pour exécuter du code, elle est jugée " extrêmement difficile, si ce n'est impossible ". Par ailleurs, la technologie DEP ( Data Execution Prevention ) qui est activée par défaut avec Windows Vista et 7, permet d'atténuer le problème. Sur les forums d'Opera, la discussion est aussi très animée.

Opera Software a livré la version finale 10.50 d'Opera la semaine dernière. Elle n'est pour l'heure proposée que pour le système d'exploitation Windows. Une sortie que l'éditeur norvégien a probablement voulu concomitante avec la diffusion du Ballot Screen de Microsoft. Alors que les utilisateurs Linux vont devoir s'armer d'encore un peu de patience, les utilisateurs Mac devraient être servis incessamment sous peu.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #608371
Quand le bénéfice de sortir vite pour profiter d'une fenêtre de lancement très favorable (le ballot screen) est quasi annulé par l'annonce d'un gros méchant bug.

Entre Google qui lance ces produits en beta avec des nouvelles versions très rapprochées, et Apple qui fait le secret absolu avant de dévoiler un produit bien né, il faut savoir choisir... sans avoir les mm moyens.
Le #608381
Rien de grave, mais oui, il est évident que 10.5 à été rushé. Une mise à jour arrivera certainement très prochainement, après quoi Opera Software se concentrera certainement sur la stabilité générale et la légèreté de son navugateur.
Un petit faux pas, probablement nécessaire d'un point de vue marketting, puis c'est pas non plus comme si on nous livrait une pré alpha...
Le #608471
Heureusement que ce n'est pas IE ou Firefox sinon en avant les trolls
Le #608491
Salut,

Un membre de la Desktop Team a aussi relativisé la dangerosité voire les possibilités d'exploitation de cette faille à des fins d'exécution de code malveillant.

http://twitter.com/opvard/status/10022205189
http://twitter.com/opvard/status/10034578436

@Kabardaf :

"il est évident que 10.5 a été rushé."


Si la 10.50 pour Windows était sortie trois semaines plus tard, la faille aurait été surement elle aussi été annoncée trois semaines plus tard
On a vu le même type d'annonce 0-Day pour Firefox 3.6 quelques jours après sa sortie...
J'attends bien sûr une mise à jour mais qui corrigera quelques bugs ou régressions plus "ennuyeux" que cette petite faille

Mais c'est plutôt sain et rassurant que des experts en sécurité s'intéressent aussi à Opera

@+
--
Pierre
Anonyme
Le #608761
toujours le mot pour rire pierro...
t'es pas obligé de faire ton fanboy dès que quelqu'un dit du "mal" de ton navigateur préféré... même si tu ajoutes ton petit smiley après!

cela dit je te rejoins concernant la faille, la faille aurait pu etre conservée jusqu'à la sortie même si c'etait dans 2 mois... comme par hasard, pendant les alpha et beta, pas de nouvelles des hackers... et des que le navigateur sort, hop on dit qu'il y a une faille... le mec avait certainement trouvé la faille bien avant la sortie d'opera 10.5 tout comme ca a été le cas pour firefox 3.6...

à voir maintenant la rapidité avec laquelle opera software comblera ce petit trou...

Je précise par contre, que je suis d'avis aussi que ça a été précipité pour le ballot screen entre autre car opera nous a habitué a sortir les versions pour tous les systemes en même temps... c'est décevant.

Mozilla ne fait pas ça, et j'en suis bien content!
Le #608831
MErde alors, même opéra a des bugs, c'est incroyable...
Le #609071
Bizour,
@Hal :

"toujours le mot pour rire pierro..."


Tu préfères les fanboys qui se gaussent en arborant le plus petit score à la Secunia Academy ?


"quelqu'un dit du "mal" de ton navigateur préféré..."


Où as-tu vu que quelqu'un disait du mal d'Opera ?


"c'est décevant."


C'est effectivement un choix stratégique à double tranchant, mais ça ne devrait pas, finalement, décevoir grand monde
De nombreux Windowsiens sont très contents d'avoir eu une "finale" aussi vite.
Quant à moi, j'm'amuse pas tellement avec les finales de tout manière...


"à voir maintenant la rapidité avec laquelle opera software comblera ce petit trou..."


J'espère que de très nombreux sites """malicieux""" essayeront de s'optimiser enfin pour Opera <img src="/img/emo/cool.gif" alt="8:" /> afin de profiter de cette faille avant qu'elle ne soit bouchée, le cas échéant...

@+
--
Pierre
Le #609241
La réponse technique d'Opera :
http://my.opera.com/securitygroup/blog/2010/03/09/the-malformed-content-length-header-security-issue
Je pense qu'on ne verra jamais d'exploitation, malheureusement, de ce bug pas facilement utilisable pour violenter le petit brouteur norvégien
@+
--
Pierre
Anonyme
Le #609611
en tout cas, je suis systématiquement l'évolution d'opera... et ce qui me gêne moi, c'est l'affichage des pages par rapport à firefox... j'attend toujours la version qui va me faire dire, "ok opera est plus rapide"

la j'utilise la 10.10, et mis de coté le démarage de l'application que je met légèrement devant firefox 3.6, c'est d'une extrème lenteur quand on compare à firefox.

Une espèce de page blanche avant d'afficher la page quand firefox l'affiche instantanément... idem pour chrome...

Alors j'ai hate que opera se bouge le cul pour démouler la version linux parce que là je ne suis pour ma part pas encore convaincu de la bombe dont on n'arrete pas de parler. (comme pour firefox on en parle beaucoup, que ceux qui disait que gnt faisait de la pub à firefox soient contents)
Le #609891
Salut,
@Hal:

« ce qui me gêne moi, c'est l'affichage des pages par rapport à firefox..." »


Vraiment ? Il n'y a QUE ça ?


« j'utilise la 10.10, et [...] c'est d'une extrème lenteur quand on compare à firefox »


Ah ? Dans quelles proportions ? Sur quels sites ? Dans quelles configurations ?
À part sur sunspider ou assimilé, la différence de réactivité entre ces deux versions (de générations maintenant différentes) ne m'a jamais sauté aux yeux...
Mais tu es probablement mûr pour tester de la v10.50 !


« Une espèce de page blanche avant d'afficher la page quand firefox l'affiche instantanément... idem pour chrome »


Opera, par défaut, commence tout rendu 1000 ms après acquisition du premier octet de la page requise. L'option similaire dans Firefox doit être calée à 250 ms et c'est peut-être, si tu as l'oeil assez vif, ce qui te cause cette « angoisse de la page blanche »
Je ne sais pas quelle valeur Chrome utilise mais je ne constate aucune différence (de « blanc » fugitif ) avec Opera sur mon XP en affichant des pages web banales style lemonde.fr


« j'ai hate que opera se bouge le cul pour démouler la version linux »


:? Tu as testé les versions de dév' diffusées depuis quelques semaines ? Rapporté des bugs avec soin ? Envoyé des rapports de plantages ? Proposé des améliorations/idées sur le blog de la DT ou sur des forums officiels ? Ou tu penses qu'on ne peut contribuer qu'au libre ?


« je ne suis pour ma part pas encore convaincu de la bombe dont on n'arrete pas de parler. »


Ne me dit pas que tu crois encore ce que disent les journaux... Une bombe, pffff...
Opera était, il y a quelques années, deux fois plus rapides que les autres sur certains tests JS et personne (même ceux que tu qualifies de fanboys) ne s'esbaudissait de sa bombitude et narguait le retard de Firefox ou d'IE...


« comme pour firefox on en parle beaucoup »


Mozilla, Google et Apple ont utilisés l'argument de la vitesse d'exécution de scripts à des fins marketing et la presse IT les a facilement suivi sur ce coup; il n'y a pas de raison que ces « média » ignorent les Opera ou autres logiciels moins « en vogue » quand ces derniers arrivent à titiller les « cadors » à leur propres jeux


« gnt faisait de la pub à firefox »


C'est étrange...je n'ai pas l'impression que lorsque les journaux parlent d'Opera, c'est pour lui faire de la pub <img src="/img/emo/cool.gif" alt="8:" />

@+
--
Pierre
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]