CERTA-2011-AVI-535

Vulnerability from certfr_avis - Published: 2011-09-23 - Updated: 2011-09-23

Une vulnérabilité dans Opera sur Android permet à un utilisateur malveillant de contourner le cloisonnement.

Description

Dans sa version pour Android, le navigateur Opera positionne des droits d'accès laxistes sur ses fichiers de cache. Une autre application peut lire ou modifier des données contenues dans ces fichiers, voire y inclure des scripts, contournement le cloisonnement prévu par le système d'exploitation.

Des preuves de faisabilité sont publiques.

Solution

La mise à jour 11.1 update 2 pour Opera sur Android remédie à ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Opera 11.1 sur Android.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eOpera 11.1 sur Android.\u003c/p\u003e",
  "content": "## Description\n\nDans sa version pour Android, le navigateur Opera positionne des droits\nd\u0027acc\u00e8s laxistes sur ses fichiers de cache. Une autre application peut\nlire ou modifier des donn\u00e9es contenues dans ces fichiers, voire y\ninclure des scripts, contournement le cloisonnement pr\u00e9vu par le syst\u00e8me\nd\u0027exploitation.\n\nDes preuves de faisabilit\u00e9 sont publiques.\n\n## Solution\n\nLa mise \u00e0 jour 11.1 update 2 pour Opera sur Android rem\u00e9die \u00e0 ce\nprobl\u00e8me.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2011-09-23T00:00:00",
  "last_revision_date": "2011-09-23T00:00:00",
  "links": [
    {
      "title": "Annonce de la disponibilit\u00e9 de Opera 11.1 update 2 pour    Android du 13 septembre 2011 :",
      "url": "http://my.opera.com/operamobile/blog/2011/09/13/android-11-1-update-2-ready-for-download"
    }
  ],
  "reference": "CERTA-2011-AVI-535",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2011-09-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans Opera sur Android permet \u00e0 un utilisateur\nmalveillant de contourner le cloisonnement.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Opera",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Annonce de la disponibilit\u00e9 de Opera 11.1 update 2 pour Android du 13 septembre 2011",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.