Drei Lücken in Opera

Ein Mitarbeiter der Sicherheitsfirma Secunia hat in dem Browser Opera drei Sicherheitslücken gefunden. Sie ermöglichen Angriffe wie Cross-Site Scripting oder das Umgehen von Sicherheitsmaßnahmen.

Alle drei Lücken wurden von Jakob Balle, einem Mitarbeiter der Research-Abteilung der Sicherheitsfirma Secunia gefunden. Sie wurden für Version 8.0 des Browsers bestätigt, allerdings könnten auch andere Versionen betroffen sein. Secunia hat diese Lücken als kritisch eingestuft.

(1) Wenn die automatische Weiterleitung aktiviert wurde, erstellt Opera bei einem Redirect eine temporäre Seite. Eingaben in diese Seite bereinigt der Browser nicht ausreichend, dies erlaubt eine Cross-Site-Scripting-Attacke.

(2) XMLHttpRequest-Objekte können auf Ressourcen außerhalb des geöffneten Objekts zugreifen. Die Lücke kann der Angreifer nutzen, um Inhalte zu stehlen oder Eingaben auf anderen Webseiten vorzunehmen.

(3) Opera beschränkt die Rechte von of "javascript:" -URLs nicht ausreichend, wenn diese beispielsweise in einem neuen Fenster oder einem Frame geöffnet werden. Dadurch können Angreifer Cross-Site-Scripting-Attacken vornehmen und lokale Dateien auslesen.

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche Übersicht abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen. (mja)

tecCHANNEL Buch-Shop

Literatur zum Thema IT-Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads