Szerző: Koi Tamás

2011. október 18. 14:44

Egy éve foltozatlan kritikus biztonsági rés az Operában

Egy, az Opera webböngésző PC-s változataiban fellelhető kritikus sebezhetőségre figyelmeztet egy biztonsági szakértő, aki állítja, hogy a hibát egy éve jelezte a fejlesztőknek, akik nem változtatták meg a szoftvert. A szakember most közzétette a támadáshoz használható kódot.

Távoli kódfuttatást lehetővé tevő kritikus biztonsági sebezhetőséget fedezett fel az Opera webböngésző PC-s változataiban José A. Vázquez, aki annak rendje, s módja szerint jelezte is a hibát az Operának az erre a célra rendszeresített SSD-programon keresztül (SecuriTeam Secure Disclousre). A biztonsági rés felfedezése és jelentése óta több mint egy év telt el, Vázquez szerint azonban az Opera még mindig nem javította a hibát, ezért most közzétette az azt kihasználó kódrészletet, ezzel nagy mértékben megnövelve a sikeres támadások előfordulási valószínűségét.

A sebezhetőség, mely az Opera kurrens, 11.51-es verziójánál is kiaknázható egy az SVG tartalmak feldolgozása során fellépő memóriakezelési hibát használ ki. A leírás szerint a böngészővel elég egy preparált weboldalt meglátogatni ahhoz, hogy a rendszer megfertőződjön, igaz, a támadók sikere nem minden esetben garantált: Vázquez szerint az Opera 11.51-nél tízből három esetből fertőződött meg a böngésző, míg a jelenleg fejlesztés alatt álló 12-es verziónál már 60 százalék volt az esély a sikerre.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

Azzal, hogy a szakértő közzétette a sérülékenység kihasználásához alkalmazható kódot, az Opera Software fejlesztői lényegében patthelyzetbe kerültek, hiszen a nyilvánosságra hozott kódrészlet révén több millió felhasználó lehet kitéve a támadásoknak. Az Opera egyébként idén májusban frissítette utoljára a böngészőjét kritikus biztonsági sérülékenység miatt, ekkor jelent meg a program 11.11-es verziója - az Operánál ekkor már jó ideje tudtak a jelenlegi kritikus besorolású hibáról is.

A norvég fejlesztőcégnél időközben javában készül a böngésző 12-es főverziója, mely többek közt új HTML5 parsert, valamint teljes hardveres grafikus gyorsítást és WebGL-támogatást nyújt. Az első, szigorúan fejlesztőknek szánt alfaváltozat múlt héten jelent meg a programból.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról