WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Hochkritische Lücke in Opera 11.x (http://www.wcm.at/forum/showthread.php?t=243160)

Christoph 17.10.2011 20:16
Hochkritische Lücke in Opera 11.x
 
Zitat:
Alle Versionen des Browsers Opera 11 sowie die Version 12 pre-alpha enthalten eine gefährliche Sicherheitslücke. Sie soll potenziellen Angreifern das Ausführen von beliebigem Code ermöglichen.

Wie der spanische Sicherheitsesxperte Jose A. Vazquez in seinem Blog berichtet, hat er Opera bereits vor exakt einem Jahr über den Exploit informiert. Opera hat bisher die Lücke aber nicht beseitigt. Deshalb entschloss sich Vazquez dazu, den Exploit jetzt zu veröffentlichen.

Die in Opera 11.x und 12 pre-alpha gefundene Sicherheitslücke wird durch einen Fehler bei der Abarbeitung von SVG-Inhalten in einem Frameset ermöglicht. Dazu muss ein Anwender eine manipulierte Webseite besuchen. Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes nach sich ziehen. Vazquez hatte bei seinen Tests in ca. 40 % der Angriffe Erfolg.
Quelle: http://www.pc-magazin.de/news/hochkr...x-1203365.html

Inzersdorfer 17.10.2011 21:38
Ergänzend hier die Trefferquote Vazquezs:
  • Opera 12 pre-alpha -> RCE on 6/10 attempts
  • Opera 11.51 -> RCE on 3/10 attempts
  • Opera 11.50 -> RCE on 3/10 attempts
  • Opera 11.11 -> RCE on 4/10 attempts
  • Opera 11.10 -> RCE on 4/10 attempts
  • Opera 11.01 -> RCE on 5/10 attempts
  • Opera 11.00 -> RCE on 4/10 attempts
Der Witz ist ja, das Opera nicht reagiert, nicht auf die ursprüngliche Meldung vom Oktober 2010 und nicht auf die Veröffentlichung vom 10.Oktober 2011 !

Christoph 17.10.2011 22:20
Wahrscheinlich halten die Entwickler das nicht für nötig, es wird schon nichts passieren und wenn, dann soll´s der User ausbaden. :utoh:

P.S.:
Ich hab Dich da zitiert:
http://www.warp2search.at/forum/thre...era-11-x.2762/

pc.net 18.10.2011 01:04
trotzdem ist opera immer noch sicherer als die weitverbreiteten anderen browser, da es sich meistens für die schadsoftware-entwicklier nicht auszahlt für die paar opera-user den exploit in ihre websites einzubauen ;)

fehler im IE, im firefox, in java oder im adobe-reader führen häufiger zum ziel ...

ev. wurde die information über die fehlerquelle von diesem sicherheitsexperten auch nicht ausreichend fundiert an opera gemeldet ... nichtsdestotrotz erwarte ich in den nächsten tagen ein update von opera, da dort zumeist sehr rasch auf solche hinweise reagiert wird ....

Baron 18.10.2011 01:14
Ja nach einem Jahr-oder mehr!:rolleyes:

Inzersdorfer 19.10.2011 13:34
Na bitte, 9 Tage nach Veröffentlichung wird ein Update (Bugfix) nachgereicht. Und die erste Stellungnahme gleich mit.
Schuld ist übrigens Herr Vasquez, ohne ihn gäbs ja keinen SVG Bug, oder so, oder wie, und nachvollziehen konnte die Meldung des Bug überhaupt Niemand.
Wirklich eine Frechheit, die User so zu gefährden: http://my.opera.com/securitygroup/bl...fixed-in-11-52
Hallo Opera, gehts noch ?

Christoph 19.10.2011 20:34
Na also, nur 9 Tage, wozu die Aufregung. ;)


Alle Zeitangaben in WEZ +2. Es ist jetzt 12:58 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag