Opera dévoile tout.

Par Jerome Saiz, le 28 mai 2002 à 02:02:00.

Le navigateur Opera 6.01 et 6.02 souffre d'une faille bien embarrassante : n'importe quel site web peut récupérer n'importe quel fichier glané sur le disque dur de l'internaute. Les versions 6.0 et 6.03+ ne sont toutefois pas concernées.

Opera, que nous recommandons généralement en remplacement d'Internet Explorer, n'est toutefois pas à l'abris de failles de sécurité stupides. La dernière en date concerne la gestion du processus de dépôt (Upload) de fichiers sur un serveur web par l'internaute. Là où d'autres navigateurs, Internet Explorer en tête, ont l'intelligence d'interdire à un site web de présélectionner les fichiers que l'utilisateur pourra déposer sur le serveur, Opera joue avec le feu et autorise une telle présélection. Cela signifie qu'un script situé sur un site web malicieux pourra ouvrir automatiquement une fenêtre d'upload et choisir les fichiers qu'il souhaite faire remonter. Opera est alors censé détecter le processus automatique et demander confirmation à l'internaute. Hélas, en ajoutant un saut de ligne à la liste des fichiers, la demande de confirmation passe à la trappe, et le serveur web peut se servir librement sur le disque dur.
Selon la société GreyMagic, à l'origine de la découverte, seules les versions 6.01 et 6.02 d'Opera pour Windows seraient concernées par la faille. Afin de vérifier les affirmations de GreyMagic, nous avons testé les versions 6.0, 6.01 et 6.03 du navigateur. La version 6.01 est en effet vulnérable, et a laissé le script de démonstration explorer le disque dur. Les versions 6.0 et 6.3 se sont en revanche bien révélées immunes.

Pour se protéger :
Il suffit de télécharger la version 6.03 d'Opera pour Windows.

A voir aussi

• IIS 5.0 dévoile tout... (05 oct 2000)
• OpenSSH 3.5 disponible. (16 oct 2002)
• Veritas dévoile son Panther. (31 mai 2005)
• Computer Associates fait dans le tout-en-un. (07 nov 2003)
• AVP fait peau neuve. (04 oct 2000)