Opera sérülékenységek


2008. augusztus 19. 22:00

CH azonosító

CH-1495

Felfedezés dátuma

2008.08.19.

Súlyosság

Magas

Érintett rendszerek

Opera
Opera Software

Érintett verziók

Opera Software Opera 5.x - 9.52

Összefoglaló

Az Opera több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak
hamisításos és cross-site scripting támadások lefolytatására, egyes biztonsági
megszorítások megkerülésére, titkos információk felfedésére vagy a felhasználói
rendszerek feltörésére.

Leírás

Az Opera több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak
hamisításos és cross-site scripting támadások lefolytatására, egyes biztonsági
megszorítások megkerülésére, titkos információk felfedésére vagy a felhasználói
rendszerek feltörésére.

  1. Az Opera protokoll kezelőkénti futtatása egy részletesen nem ismertetett
    hibát okoz. Ezt az Opera lefagyasztására vagy tetszőleges kód futtatására
    lehet kihasználni.

    Megjegyzés: A jelentések szerint a sérülékenység csak az Opera Windows alatti
    futtatásakor lép fel.
  2. A probléma oka, hogy egy weboldal meg tudja változtatni egy másik weboldalról nyitott felugró ablak kereteinek címét.
    Ez kihasználható a megbízható web oldal kereteibe káros tartalom feltöltésére.
  3. Egy nem részletezett hiba cross-site scripting támadások lefolytatását teszi
    lehetővé.
  4. A felhasználói gyorsbillentyű és menü parancsok feldolgozásakor egy hiba lehetővé teszi alkalmazások veszélyes, a kezdőérték nélküli memória tartalmából összeállított, paraméterekkel történő futtatását.

    A sikeres kiaknázás tetszőleges kód futtatását teheti lehetővé, bár ennek feltétele,
    hogy felhasználó módosítsa a gyorsbillentyűket vagy menü fájlokat.
  5. Hibás a weboldalak megítélése a böngészés biztonsága szempontjából.
    Ezt kihasználva egy oldal megbízhatónak tüntetheti fel magát, ha egy keretben tartalmazza egy megbízható weboldal tartalmát.
  6. Hibás a web oldal linkjeinek az ellenőrzése, ha az egy helyi fájlra mutat.
    Ez kiaknázható a forrás fájlokhoz helyi tartalmak hozzáadására és annak meghatározására, hogy a helyi rendszer tartalmazza-e a fájlt.
  7. A megrendelt hírekre vonatkozó kérések feldolgozása hibás. Ez kihasználható a cím mező felcserélésére egy káros weboldal címére és a felhasználó félrevezetésére.

A sérülékenységeket a 9.52. verziót megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
Gyártói referencia: www.opera.com
SECUNIA 31549
CVE-2008-4292 - NVD CVE-2008-4292
CVE-2008-4293 - NVD CVE-2008-4293
CVE-2008-4195 - NVD CVE-2008-4195
CVE-2008-4196 - NVD CVE-2008-4196
CVE-2008-4197 - NVD CVE-2008-4197
CVE-2008-4198 - NVD CVE-2008-4198
CVE-2008-4199 - NVD CVE-2008-4199
CVE-2008-4200 - NVD CVE-2008-4200

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »