A böngésző windowsos változatának 7 - 7.22 verziói mindkét hibát tartalmazzák, s ha segítségükkel a felhasználót egy speciálisan megépített weboldalra tudják csalni, a távoli felhasználó át tudja venni a gép felett az ellenőrzést. A linuxos változat azonos verziói csak egy hibát, egy puffer túlfolyásos sebezhetőséget tartalmaznak. A cég a kijavításhoz az új 7.23 verzió letöltését javasolja. Juokko Pynnönen finn szoftverfejlesztő tájékoztatta a hibákról az Operát, még november 12-én, aki korábban talált biztonsági réseket a Microsoft IE böngészőjében és a Windows Media Player alkalmazásban is. A probléma alapját az a kód jelenti, amely lehetővé teszi, hogy a felhasználó új „bőrt” töltsön le és automatikusan telepítsen az Operára. A hiba abból ered, hogy az Opera rosszul ellenőrzi az ilyen fájlok tartalmának és nevének érvényességét, ami lehetővé teszi, hogy egy weboldal tervező a windowsos gép tetszés szerinti helyére elmentsen egy állományt. Egy ilyen állomány az indító könyvtárba mentve lehetővé teszi, hogy a támadó a gép következő betöltése után felhasználói előjogokkal azt tegyen, amit csak akar, fájlokat törölhet, vagy vírusokat telepíthet a gépbe.
A Pynnönen által jelzett másik hiba - a puffer túlcsordulás - a Linux és a Windows verziót is érinti. Ha a felhasználó letöltötte az ártó „bőr” fájlt, bekövetkezik a túlfolyás, ami elméletileg lehetővé teszi tetszőleges kód futtatását, bár erre a finn fejlesztő nem talált példát. E hibák kijavításán túl az Opera új 7.23-as verziójába beépítették az OpenSSL protokollt kezelő kód kijavítását is, melyet az OpenSSL fejlesztői november 4-én tettek közzé, és amely azt a hibát orvosolja, amely a böngésző összeomlásához vezet, ha érvénytelen adatokat kap egy biztonságos webhely tanúsítványáról.
Biztonsági javítások az Opera-ban
Hirdetés
Hirdetés