Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Egy éve foltozatlan kritikus biztonsági rés az Operában

Koi Tamás, 2011. október 18. 14:44
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egy, az Opera webböngésző PC-s változataiban fellelhető kritikus sebezhetőségre figyelmeztet egy biztonsági szakértő, aki állítja, hogy a hibát egy éve jelezte a fejlesztőknek, akik nem változtatták meg a szoftvert. A szakember most közzétette a támadáshoz használható kódot.

hirdetés

Távoli kódfuttatást lehetővé tevő kritikus biztonsági sebezhetőséget fedezett fel az Opera webböngésző PC-s változataiban José A. Vázquez, aki annak rendje, s módja szerint jelezte is a hibát az Operának az erre a célra rendszeresített SSD-programon keresztül (SecuriTeam Secure Disclousre). A biztonsági rés felfedezése és jelentése óta több mint egy év telt el, Vázquez szerint azonban az Opera még mindig nem javította a hibát, ezért most közzétette az azt kihasználó kódrészletet, ezzel nagy mértékben megnövelve a sikeres támadások előfordulási valószínűségét.

A sebezhetőség, mely az Opera kurrens, 11.51-es verziójánál is kiaknázható egy az SVG tartalmak feldolgozása során fellépő memóriakezelési hibát használ ki. A leírás szerint a böngészővel elég egy preparált weboldalt meglátogatni ahhoz, hogy a rendszer megfertőződjön, igaz, a támadók sikere nem minden esetben garantált: Vázquez szerint az Opera 11.51-nél tízből három esetből fertőződött meg a böngésző, míg a jelenleg fejlesztés alatt álló 12-es verziónál már 60 százalék volt az esély a sikerre.

Azzal, hogy a szakértő közzétette a sérülékenység kihasználásához alkalmazható kódot, az Opera Software fejlesztői lényegében patthelyzetbe kerültek, hiszen a nyilvánosságra hozott kódrészlet révén több millió felhasználó lehet kitéve a támadásoknak. Az Opera egyébként idén májusban frissítette utoljára a böngészőjét kritikus biztonsági sérülékenység miatt, ekkor jelent meg a program 11.11-es verziója - az Operánál ekkor már jó ideje tudtak a jelenlegi kritikus besorolású hibáról is.

A norvég fejlesztőcégnél időközben javában készül a böngésző 12-es főverziója, mely többek közt új HTML5 parsert, valamint teljes hardveres grafikus gyorsítást és WebGL-támogatást nyújt. Az első, szigorúan fejlesztőknek szánt alfaváltozat múlt héten jelent meg a programból.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!