Opera-selaimessa vakavia tietoturva-aukkoja
3
Norjalaisen Opera Softwaren Opera-selain kaipaa jälleen päivittämistä. Kolme haavoittuvuutta ovat selaimen versiossa 9.60 ja vanhemmissa julkaisuissa. Haavoittuvuudet koskevat selaimen kaikkia työpöytäversioita, siis myös Linux- ja Mac-versioita. Opera Software on luokitellut haavoittuvuudet erittäin vakaviksi.
Haavoittuvuutta hyväksi käyttäen hyökkääjä voi saada aikaan niin sanotun cross-site scripting (xss) -hyökkäyksen tai saada haltuunsa koneelta luottamuksellisia tietoja. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä vihamielisesti muotoillulle www-sivustolle.
Ensimmäinen haavoittuvuus mahdollistaa Viestintäviraston Cert-fi-yksikön mukaan hyökkääjän javascript-koodin lisäämisen historian etsintäsivulle. Silloin vieraillut sivustot ja sisältöineen voivat paljastua.
Toinen tietoturva-aukko mahdollistaa xss-hyökkäykset kehyksiä (frames) sisältävillä web-sivuilla siten, että kehykset voivat vaikuttaa toistensa sisältöön. Huijaussivustolle voidaan näin sisällyttää muokattu versio esimerkiksi pankin tai verkkokaupan sivustosta.
Kolmas haavoittuvuus on javascript-koodin puutteellisessa estämisessä rss-uutissyötteitä luettaessa. Vihamielisesti tehdyt uutissyötteet voivat saada selville tiedot muiden luettujen syötteiden sisällöstä. Ne voivat myös päästä lisäämään roskapostia.
Cert-fi suosittelee selaimen päivittämistä heti versioon 9.61.
