CERT-FI haavoittuvuustiedote 128/2008

22.10.2008

Uusi päivitys Opera-selaimeen

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Opera-selainohjelmistosta on löydetty haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi muun muassa olla mahdollista saada aikaan Cross-site scripting -hyökkäys tai saada tietoon luottamuksellisia tietoja. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla haavoittuvaa ohjelmistoversiota käyttävä käyttäjä vihamielisesti muotoillulle www-sivustolle.

Ensimmäinen haavoittuvuus mahdollistaa hyökkääjän Javascript-koodin ujutuksen historian etsintäsivulle, jolloin vieraillut sivustot ja niiden sisältö voivat paljastua.

Toinen haavoittuvuus mahdollistaa kehyksiä sisältävillä sivuilla Cross-site scripting -hyökkäyksiä, joissa kehykset voivat vaikuttaa toistensa sisältöön. Tällöin huijaussivustolle voidaan sisällyttää muokattu versio esimerkiksi pankki- tai verkkokauppasivustosta.

Kolmas haavoittuvuus liittyy Javascript-koodin puutteelliseen estämiseen uutissyötteitä luettaessa. Vihamielisesti muokatut uutissyötteet voivat tällöin ottaa selville tiedot muiden luettujen syötteiden sisällöstä, ja lisätä joukkoon roskapostisyötteitä.

HAAVOITTUVAT OHJELMISTOT:

• Opera 9.60 ja sitä aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto versioon 9.61 valmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://www.opera.com/download/
• http://www.opera.com/support/search/view/903/
• http://www.opera.com/support/search/view/904/
• http://www.opera.com/support/search/view/905/

PÄIVITYSHISTORIA:

22.10.2008, kello 15.00: Julkaistu

Sivua päivitetty 22.10.2008

Tulostusversio