CH azonosító
CH-3715Angol cím
Opera Browser Cross Domain Scripting and Address Bar SpoofingFelfedezés dátuma
2010.09.30.Súlyosság
KözepesÖsszefoglaló
Az Opera két sérülékenységét azonosították, melyeket a támadók kihasználhatnak érzékeny információk megszerzésére és adathalász (phishing) támadásokra.
Leírás
- Az első sérülékenységet az váltja ki, ha leállítják a tartalom további betöltését, és közben egy másik, kívülálló weboldalra irányítják át a böngészőt. Ezt a távoli támadók kihasználhatják a cross-domain biztonsági szabályok átlépésére, pl. megváltoztathatnak vagy megszerezhetnek tetszőleges tartományból származó érzékeny információkat (pl. cookie-kat), ha a felhasználó ellátogat egy speciálisan elkészített weboldalra.
- A második sérülékenységet az URL átirányítások kezelési hibája okozza, ami lehetővé teszi, hogy a támadók meghamisítsák vagy elfedjék a címsorban megjelenített URL címet, közben a becsapott felhasználók abban a hiszemben csatlakoznak a káros weboldalhoz, hogy az egy megbízható weboldal.
A sérülékenységeket a Windows XP SP3 rendszeren futó Opera 10.62. verziójában igazolták.
Megoldás
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) seTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.vupen.com
Egyéb referencia: www.alternativ-testing.fr
Egyéb referencia: www.securityfocus.com