[CVE-2012-1928] Opera 11.61 Address Bar Spoofing

Par Jordi_Chancel le mardi, mars 27 2012, 12:44

http://www.opera.com/docs/changelogs/windows/1162/
http://www.opera.com/support/kb/view/1014/

The address field should always show the address of the page that is being displayed. In certain cases, if a target site responds slowly, reloading an attacking page and redirecting to the target page can cause the address field to show the target site's address, while the attacking site is still being displayed.

Encore un! Et oui lors de l'un de mes tests sur le navigateur Opera j'ai encore découvert une nouvelle vulnérabilité de Location Bar Spoofing.
Cette nouvelle vulnérabilité ne peut pourtant être exploiter que dans certaine condition mais nécessite des interaction minime de l'utilisateur pour que celui-ci soit mis en œuvre.

Lire la suite...

Ce nouveau bug d'Opera permet quoi qu'il en soit de mener des attaque de phishing évolué a partir d'une page web spécialement conçu.

Le risque global reste pourtant faible du fait que se spoofing n'est activé qu'avec certain paramètre particulier d'un popup ouvert a partir d'une précédente page web (elle aussi spécialement conçu).

Vous l'aurez donc compris, le fait que le risque globale soit assez faible contrairement a sa popularité , son impacte et sa simplicité détient du fait que celui-ci s'active en 2 partie.

Il n'en reste pas moins qu'avec une telle vulnérabilité , permettre des escroqueries de type phishing et scam reste un jeu d'enfant.

Vidéo :

Vulnérabilité reportée et confirmée sur bugs.opera.com par Jordi Chancel

Auteur : Jordi Chancel

Jordi.Chancel Research Blog

[CVE-2012-1928] Opera 11.61 Address Bar Spoofing

Ajouter un commentaire

Rechercher

Tags

S'abonner