Sicherheits-Update
Kritische Opera-Lücke beseitigt
Mit der neuen Version 10.10 schließt Opera drei Sicherheitslücken in seinem gleichnamigen Browser. Eine davon kann das Ausführen von eingeschleustem Code ermöglichen. Außerdem wurden etliche Bugs behoben.
Seit gestern steht der norwegische Web-Browser Opera in der neuen Version 10.10 zum Herunterladen bereit. Unter den zahlreichen Neuerungen ist auch der ursprünglich bereits für Version 10.0 angekündigte Web-Server Unite. Die Entwickler haben jedoch auch drei Sicherheitslücken gestopft. Eine davon wurde bereits vor Monaten in Google Chrome und der Browser-Familie von Mozilla bekannt und beseitigt.
Das Changelog für Opera 10.10 weist unter der Überschrft "Security" drei Schwachstellen aus, die in der aktuellen Version behoben worden sind. Ein Pufferüberlauf kann bei der Konversion von Zeichenketten in Zahlen per Javascript auftreten. Operas zugehörige Sicherheitsmitteilung 942 weist auch die aus BSD-Unix stammende "dtoa"-Routine zur Umwandlung eines Datums in eine Gleitkommazahl als anfällig aus. In aller Regel soll Opera einfach nur stehen bleiben, es könnte jedoch auch abstürzen. Dadurch könnte eingeschleuster Code ausgeführt werden. Deshalb stuft Opera die Lücke als "extremely severe" (äußerst schwerwiegend) ein.
Eine zweite behobene Schwachstelle betrifft ebenfalls Javascript. Fehlermeldungen, die normalerweise nur auf der verursachenden Seite erscheinen, könnten unter Umständen auch in gleichzeitig geladene fremde Seiten hinüber schwappen. Dadurch kann ein XSS-Angriff (Cross-Site Scripting) möglich sein.
Die dritte Sicherheitslücke ist vom Google Sicherheitsteam entdeckt worden. Details dazu will Opera noch nicht verraten. Vermutlich sind noch andere Browser betroffen.
