71084

Kritische Sicherheitslücken in Opera beseitigt

17.12.2008 | 08:45 Uhr |

Mit Opera 9.63 hat der gleichnamige Hersteller eine neue Version seines Browsers bereit stellt, in der sieben Sicherheitslücken gestopft sind. Einige davon können das Einschleusen von schädlichem Code ermöglichen.

Die norwegische Browser-Schmiede Opera Software hat eine Reihe von zum Teil als kritisch eingestuften Sicherheitslücken in ihrer Browser-Suite beseitigt. Die neue Version Opera 9.63 steht ab sofort zum Download bereit. Drei der sieben ausgeräumten Schwachstellen können es einem Angreifer ermöglichen beliebigen Code, auch Malware, einzuschleusen und auszuführen.

Zwei der beseitigten Sicherheitslücken sind vom Hersteller als "extremely severe", also äußerst ernst eingestuft. Eine davon führt zu einem Pufferüberlauf, wenn bestimmte, nicht näher bezeichnete Texteingabebereiche manipuliert werden. Dies kann ein Angreifer zum Einschleusen und Ausführen von beliebigem Code nutzen.

Die andere als äußerst ernst angesehene Schwachstelle ist ähnlich problematisch und betrifft nur vage als "gewisse HTML-Konstrukte" bezeichnete Teile einer Web-Seite. Diese können das Objekt-Modell einer Seite vom Browser unerwartet manipulieren, was zum Absturz des Programms führt. Mit Hilfe weiterer Methoden könnte ein Angreifer Code injizieren, der dann ausgeführt werden könnte.

Eine weitere Sicherheitslücke, die mit "highly severe" etwas niedriger eingestuft ist, betrifft das File-Protokoll, also Adressen des Typs file:/// , die nur lokal aufgerufen werden können. Enthält die Adresse einen außergewöhnlich langen Rechnernamen, kann dies einen Pufferüberlauf provozieren, der zum Programmabsturz führt. Auch hier ist das Einschleusen und Ausführen von beliebigem Code möglich. Ein Angriff wäre etwa mit Hilfe einer Mail denkbar, die einen derartigen Link enthält.

Ebenfalls sehr ernst ("highly severe") nehmen die Opera-Ingenieure eine Anfälligkeit in der Vorschau des eingebauten Moduls zur Anzeige von RSS-Feeds. Ein Angreifer könnte einen Feed mit URLs präparieren, die Script-Code enthalten. Diese Scripte könnten im Namen des Benutzers beliebige Feeds abonnieren und Einblick in bereits abonnierte Feeds nehmen. Dadurch könnten vertrauliche Daten ausspioniert werden.

Weitere Informationen zu den in Opera 9.63 beseitigten Sicherheitslücken finden Sie im ChangeLog . Nehmen der Beseitigung von Sicherheitslücken haben die Entwickler auch die neue Version 2.1.1 des HTML-Moduls Opera Presto eingebaut. Opera 9.63 ist für Windows, Mac OS X, Linux, FreeBSD und Solaris erhältlich.

Download Opera 9.63

0 Kommentare zu diesem Artikel
71084