Opera byla děravá, řada chyb umožňovala vzdálené vykonání kódu

18. 12. 2008

Sdílet

V aktuální verzi se zvýší bezpečnost i díky omezením obrázků ve formátu SVG. V předchozí verzi mohly být v tomto případě v tagu IMG nejenom pouhé pasivní obrázky, ale takový obsah mohl rovněž automaticky spouštět plug-iny nebo volat javový kód.

Aktuální verze prohlížeče Opera (9.63) přináší opravu několika bezpečnostních chyb. Řada z nich byla vážná, protože umožňovala vzdálené spuštění libovolného kódu. Aktualizaci lze proto důrazně doporučit.
Zranitelnosti prohlížeče mohli útočníci zneužít například pomocí manipulace s řetězci odeslanými přes webové formuláře. Chyba se také týkala zpracování HTML, takže kód šlo spustit i pouze pomocí speciálně upravené webové stránky. Dalším problémem bylo zpracování extrémně dlouhých adres URL, i zde se po přetečení zásobníku mohl kód začít vykonávat. Jiná zranitelnost umožňovala cross-site scripting.
V aktuální verzi se zvýší bezpečnost i díky omezením obrázků ve formátu SVG. V předchozí verzi mohly být v tomto případě v tagu IMG nejenom pouhé pasivní obrázky, ale takový obsah mohl rovněž automaticky spouštět plug-iny nebo volat javový kód. Pro lepší ochranu soukromí nyní Opera nabízí import certifikátů p12.

Zdroj: Opera

Viz také:
Opera odstraňuje vážné chyby, ponechává si však jedno tajemství

Autor článku