DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 27 Oktober, 2004, 19:08
-
Software-Hersteller Opera hat die Preview 2 der Version 7.6 seines gleichnamigen Browsers für Windows veröffentlicht. Die Dateien für die Sprachnavigation, die seit der ersten Preview von Opera 7.6 verfügbar ist, wurden in einen separaten Download ausgelagert; die Installationsdatei des Browsers ist (wieder) nur 3,6 MByte groß. In der ersten Preview-Release hatten die beiliegenden Sprachdateien den Download auf für Opera stattliche 6 MByte anwachsen lassen.
Die Vorab-Release bringt auch zahlreiche Detailverbesserungen. So hat Opera die zuletzt ausufernden Menüs aufgeräumt und abgespeckt. Das Window-Menü wurde zum Beispiel komplett entfernt; seine Funktionen finden sich im Kontext-Menü der Fenster-Reiterflächen. Eine komplette Liste aller Neuerungen zählt das Changelog auf.
Mit der Preview-Release regiert Opera auch auf eine Warnung, die Browser mit Mehrfensteroberflächen generell betrifft. Dabei können verdeckte Seiten Skriptbefehle ausführen, der Anwender denkt jedoch, er interagiere mit der im Vordergrund dargestellten Seite. So landen unter Umständen Eingaben mit Passwörtern oder anderen wichtigen Daten auf dem falschen Server. Mit der Preview-Version 2 funktioniert dieser Trick nicht mehr.
Opera will allerdings laut einem Advisory für die aktuelle Release seines Browsers, Version 7.54, keinen Bugfix für das Mehrfensterproblem veröffentlichen; stattdessen vertröstet man die Nutzer auf Version 7.6.
Quelle : www.heise.de
-
Browser in Version 7.54u1 veröffentlicht
Opera hat ein Sicherheitsupdate seines Browsers in der Version 7.54 für alle Plattformen veröffentlicht. Die neue Version 7.54u1 schließt vier potenzielle Sicherheitslücken, die in den vergangenen Tagen bekannt geworden waren, aber nicht nur in Opera enthalten sind.
So soll die neue Version verhindern, dass namentlich benannte Frames oder Fenster von Angreifern übernommen werden können, auch der von Secunia entdeckte neue Phishing-Trick soll behoben worden sein. Auch ein Problem, das Angreifern erlaube, eine ausführbare Datei hinter einem unverfänglichen Dateitypen zu verstecken, soll behoben worden sein.
Ebenfalls soll der Browser nun verhindern, dass die Ende November 2004 bekannt gewordene Sicherheitslücke in Java ausgenutzt werden kann. Zudem wurde die Unterstützung der Cache-Direktive "must-revalidate" verbessert.
Opera 7.54u1 steht ab sofort bei Opera für alle unterstützten Plattformen zum Download bereit. Ein Security-Advisory geht auf die beseitigten Sicherheitsprobleme ein.
Quelle : www.golem.de
-
Mit einem zweiten Sicherheits-Update für Opera 7.54 schließt der norwegische Browser-Hersteller zwei Sicherheitslöcher und umgeht einen im Dezember 2004 bekannt gewordenen Phishing-Trick. Mit Hilfe dieses Tricks konnten Angreifer den Inhalt von Pop-Up-Fenstern manipulieren und sich so womöglich Zugriff auf vertrauliche Informationen verschaffen.
Mit Opera 7.54u2 lässt sich der im Dezember 2004 bekannt gewordene Phishing-Trick nicht mehr ausnutzen, um die Inhalte von Pop-Up-Fenstern unberechtigt zu verändern. Dieser als nicht gefährlich eingestufte Mechanismus wurde in einer Reihe von Web-Browsern entdeckt und kann von einem Angreifer dazu missbraucht werden, den Inhalt eines Pop-Up-Fenstern zu manipulieren und sich so Zugriff auf vertrauliche Daten zu verschaffen.
Zudem schließt die aktuelle Opera-Version eine als moderat eingestufte Sicherheitslücke, über die ein Angreifer einen Download-Dialog manipulieren und Anwender so zum Ausführen von schadhaftem Programmcode bringen konnte.
Ein weiteres nun behobenes Sicherheitsloch betrifft nur die Unix-Versionen von Opera, die beim Öffnen von .sh- oder .desktop-Dateien sowie ausführbaren Programmdaten aus dem Browser heraus auftreten kann. Mit der aktuellen Version erscheint in solchen Fällen nun zuvor ein Warnhinweis. Zudem wurde in den Unix-Versionen von Opera ein Programmfehler behoben, der den Browser beim Import von E-Mails zum Absturz bringen konnte.
Opera 7.54u2 für Windows, Linux, MacOS X, FreeBSD und Solaris steht ab sofort in englischer Sprache in einer kostenlosen Version mit eingeblendeten Werbebannern mit und ohne Java-Engine zum Download bereit. Die deutsche Sprachdatei von Opera 7.54 lässt sich mit der aktuellen Version verwenden. Zur Abschaltung der Werbebanner in der Software fällt eine Registrierungsgebühr von 34,- Euro an.
Quelle und Links : http://www.golem.de/0502/36115.html
-
Opera Software hat das Release 8.01 seines gleichnamigen Browser-Pakets für Windows, Linux und Mac OS zum Download bereitgestellt. Es bereinigt gleich eine Reihe von Sicherheitsproblemen, die es Angreifern unter anderem ermöglichen, Dateien des Benutzers auszuspähen.
Außerdem hat der Hersteller wieder an etlichen Ecken der Oberfläche gefeilt. Als Neuerung hat Opera so genanntes Browser JavaScript vorgestellt - mit vom Hersteller bereitgestellten JavaScripts bügelt der Browser Inkompatibilitäten einzelner Sites aus. Auf der Homepage listet Opera eine Reihe von Sites, die mit Browser JavaScripts bedacht werden, darunter Microsofts Entwickler-Site msdn.microsoft.com und nvidia.com. Eine Übersicht aller neuen Funktionen und der Sicherheitspatches liefert das Changelog.
Mit Opera 8.01 für Mac OS X steht jetzt eine fertige Version des Browser für Apples Unix-System bereit. Es setzt Mac OS X 10.2 oder eine neuere Version voraus. Der Funktionsumfang der Mac-Varianten soll dem der Versionen für die anderen Plattformen entsprechen.
Quelle und Links : http://www.heise.de/newsticker/meldung/60687
-
Der norwegische Softwarehersteller Opera hat seinen gleichnamigen Webbrowser in Version 8.02 für Windows, Mac OS X und Linux zum Download freigeben. Wie ein Opera-Entwickler bereits angekündigt hatte, enthält die finale Version von Opera 8.02 keine Bittorrent-Unterstützung, die in eine Technical Preview von Opera 8.02 eingebaut worden war. Die neue Ausgabe bringt dafür Korrekturen für Sicherheitsprobleme und einige kleinere Bug-Fixes, erklärt Opera in der Ankündigung von Opera 8.02
Insgesamt behebt die neue Release drei Sicherheitslücken: Ein Bug im Download-Dialog, mit dem Anwendern falsche Files untergeschoben werden können, sowie Probleme beim Bilder- und Link-Handling. Advisories zu den geschlossenen Sicherheitslücken verlinkt Opera im Changelog zur Version 8.02; im Changelog sind auch Details zu den weiteren Bug-Fixes zu finden.
Quelle und Links : http://www.heise.de/newsticker/meldung/62204
-
Dem in Opera integrierten Mail-Client lassen sich durch eine vom Sicherheitsdienstleister Secunia entdeckte Lücke Java-Scripte beispielsweise als Bilder getarnt unterjubeln. Durch einen weiteren Fehler öffnet Opera Java-Scripte aus dem Benutzer-Cache-Verzeichnis, ohne eine Warnmeldung auszugeben. Dies ist insofern problematisch, als dass Dateianhänge, die vom Mail-Programm nicht selbst verarbeitet werden können, bei Doppelklick darauf in das Benutzer-Cache-Verzeichnis gespeichert und mit einer Anwendung geöffnet werden, die durch das "Content-Type"-Feld angegebene Dateitypen bearbeiten kann.
Anzeige
Beispielsweise lässt sich eine HTML-Datei mit Javascript-Code gegenüber dem Opera-Benutzer als Bild tarnen. Dazu muss dem Dateinamen nur ein Punkt angefügt werden: aus böse.html wird schönes_bild.jpg.. Das Content-Type-Feld enthält jedoch als korrekte Kodierung HTML. Bei Doppelklick auf diese Datei speichert Opera Mail den Anhang in das Cache-Verzeichnis und startet den Browser mit dieser Datei -- ohne Warnmeldung. Dieses Script hat nun lokale Zugriffsberechtigungen und kann Dateien lesen, schreiben und auch übertragen.
Betroffen ist Opera in Version 8.02 (erschienen Ende Juli dieses Jahres) und möglicherweise auch ältere Versionen. Die heute veröffentlichte Version 8.5 enthält die Fehler nicht mehr.
Siehe dazu auch:
* Security Advisory von Secunia
* Download von Opera 8.50
Quelle und Links : http://www.heise.de/newsticker/meldung/64099
-
Anwender des Webbrowsers Opera unter Unix/Linux sollten auf die neueste Version 8.51 updaten, in der eine kritische Sicherheitslücke geschlossen wurde. Nach Angaben des Entdeckers der Lücke, der Sicherheitsdienstleister Secunia, kann ein Angreifer über manipulierte URLs Shell-Kommandos einschleusen und mit den Rechten des Anwenders ausführen.
Ursache des Problems ist die fehlerhafte Filterung des Shell-Skripts zum Aufruf von Opera, das sich bei der Übergabe der URL durch andere Applikationen Befehle unterschieben lässt. Unter anderem ruft der E-Mail-Client Evolution auf diese Weise Opera auf, wenn der Anwender einen Link in einer Mail anklickt.
Aber auch Windows-Anwender von Opera sollten auf die neue Version wechseln, da zusätzlich auch eine Lücke im Flash-Player geschlossen wurde, mit der sich ein System ebenfalls kompromittieren lässt.
Siehe dazu auch:
* Download 8.51, Ankündigung von Opera
* Opera Command Line URL Shell Command Injection, Fehlerreport von Secunia
Quelle und Links : http://www.heise.de/security/news/meldung/66491
-
Der Webbrowser Opera hat in der neuesten Version 8.52 einige Sicherheits-Updates verpasst bekommen. Der norwegische Hersteller empfiehlt daher den Umstieg, der als Downloadpaket für Windows, Solaris/SPARC, Mac OS X/PPC, Linux für Sparc/PPC/i386 und FreeBSD i386 bereitsteht. Ein Universal Binary für Intel-basierte Mac-Rechner soll es erst mit der kommenden Version 9 des Browsers geben, die aktuell als Technology Preview 2 verfügbar ist; mittlerweile bietet Opera auch wöchentlich aktualisierte Vorabversionen seiner neuen Browserausgabe an.
In Opera 8.52 wurde ein Darstellungsfehler behoben sowie drei Sicherheitslücken gestopft: Die Entwickler haben abgelaufene Zertifikate von Trustcenter ersetzt sowie das Handling des Online-Statusprotokolls für Zertifikate (OCSP) verbessert. Außerdem wurde die neue Version um einen Fehler bereinigt, der bislang unter bestimmten Umständen zu einer fehlerhaften Anzeige der URL geführt hat.
Quelle und Links : http://www.heise.de/security/news/meldung/69756
-
Der Hersteller Opera hat die aktualisierte Version 8.54 seines gleichnamigen Browsers für alle Betriebssysteme veröffentlicht. Zumindest für die Windows-Version handelt es sich nach Angaben von Opera um ein Security Upgrade, das keine neuen Funktionen mitbringt, sondern nur Lücken stopft und Fehler beseitigt. So sind die PCs von Windows-Anwendern nach der Installation fortan nicht mehr für Angriffe über manipulierte Flash-Animationen anfällig. Ursache der Schwachstelle war eine vor mehr als vierzehn Tagen gemeldete Lücke im Flash-Plug-in von Adobe (ehemals Macromedia), über die sich Code in ein System einbringen und starten ließ.
mehr dazu:
http://www.heise.de/newsticker/meldung/71699
-
Im Webbrowser Opera könnten Angreifer mit präparierten JPEG-Bildern beliebigen Code einschleusen. Grund dafür ist eine nicht ausreichend dimensionierte Ganzzahlvariable im Browsercode zum Verarbeiten der Bilder.
Durch manipulierte JPEG-Bilder, die sehr große Werte für die Höhe oder Breite in bestimmten Feldern der JPEG-Header aufweisen, kann eine Integer-Variable überlaufen. In der Folge wird ein zu kleiner Speicherbereich für das Bild reserviert, ein Pufferüberlauf tritt auf.
Betroffen sind Opera 8.54 und ältere Versionen. Der Hersteller hat den Fehler in der am Dienstag erschienenen Version 9.0 des Browsers beseitigt. Alle Opera-Nutzer sollten daher umgehend auf die neue Version aktualisieren.
Siehe dazu auch:
* Opera JPEG Processing Integer Overflow Vulnerability, Sicherheitsmeldung von VigilantMinds
* Download der aktuellen Opera-Versionen
Quelle und Links : http://www.heise.de/security/news/meldung/74603
-
Update:
Allerdings ist in Opera 9 auch schon eine Schwachstelle bekannt, durch die der Browser mit überlangen URLs in Links abstürzen kann. Bislang ist jedoch noch unklar, ob sich über diese Schwachstelle auch Schädlinge einschleusen lassen.
Opera 9 DoS, Fehlermeldung von Critical Security - http://www.critical.lt/?vuln/349 (http://www.critical.lt/?vuln/349)
Quelle : www.heise.de
-
Opera Software hat Release 9.02 seines Web-Browsers für Windows, Mac OS, Linux, FreeBSD und Solaris zum Download bereitgestellt. Der Browser behebt in der Windows-Version eine Sicherheitslücke in der SSL-Implementierung, die unter Umständen dazu führen kann, dass ungültige Zertifikate nicht erkannt werden. Daneben enthält Version viele kleine Verbesserungen; das Changelog informiert über die Details.
Changelog : http://www.opera.com/docs/changelogs/windows/902/
Quelle : www.heise.de
-
iDefense hat eine Sicherheitslücke im Webbrowser Opera entdeckt. Beim Verarbeiten langer URLs kann ein Pufferüberlauf auftreten, durch den Angreifer nach Einschätzung von iDefense beliebigen Code mit den Rechten des Opera-Nutzers ausführen können. Der Browserhersteller stuft das Risiko allerdings nur als moderat ein und spricht von einem möglichen Absturz.
Laut iDefense nutzt Opera 9.0 und 9.01 einen Puffer mit der festen Größe von 256 Bytes zum Kopieren einer Adresse beim Verarbeiten von URLs in HTML-Tags. Dabei findet keine Längenprüfung der Adresse statt. Angreifer können so etwa mit präparierten Bildern und überlangen URLs ausreichend Kontrolle über den Heap erlangen und so schädliche Programme einschleusen und ausführen.
Opera Software hat mit Opera 9.02 bereits am 22. September eine neue Version des Browsers zum Download bereitgestellt, in der der Fehler nicht mehr enthalten ist. Nutzer der Vorversionen sollten zügig auf die neue Version aktualisieren.
Siehe dazu auch:
* Opera Software Opera Web Browser URL Parsing Heap Overflow Vulnerability, Sicherheitsmeldung von iDefense
* Very large link addresses can cause Opera to crash, Fehlermeldung von Opera Software
* Ein Haufen Risiko, Hintergrundartikel zu Heap-basierten Pufferüberläufen auf heise Security
* Download der fehlerbereinigten Version Opera 9.02
Quelle und Links : http://www.heise.de/security/news/meldung/79645
-
Für die kommende Version 9.1 des Browsers planen die Opera-Entwickler einen zuschaltbaren Phishing-Schutz, der sich mit den entsprechenden Funktionen in Internet Explorer 7 und Firefox 2 vergleichen lässt. Dabei übermittelt Opera jede zum ersten Mal angesurfte Website an einen Prüfdienst; dieser ist auf den Opera-Servern gehostet und greift auf die Datenbestände von GeoTrust zu. Der Browser übermittelt für diesen Zweck die Domain und den Hashwert der vollständigen URL.
Der Prüfserver antwortet mit einer Einschätzung der URL (ok, zweifelhaft oder betrügerisch), ohne die IP-Adresse des Anfragenden zu speichern. Der Browser cachet die Ergebnisse; ein Zeitstempel regelt, wann die gecachete Information aufgefrischt werden muss. Je nach Ergebnis der Prüfung zeigt Opera ein "i" (ok) oder ein "?" rechts in der Adresszeile an (wo jetzt schon die Informationen zu verschlüsselten Verbindungen stehen) oder blockiert die Seite mit einem Warnhinweis. Die Anfrage beim Prüfserver soll die Verbindungsgeschwindigkeit nicht beeinträchtigen, da sie asymmetrisch im Hintergrund abläuft.
Quelle : www.heise.de
-
Opera Software hat eine neue Version seines Browser für Windows, Linux und Mac OS veröffentlicht. Neben diversen Bugfixes enthält Opera 9.10 einen überarbeiteten Phishing-Schutz. Ist dieser aktiviert, sendet er die URLs der besuchten Sites an einen Opera-Server, der sie mit einer Datenbank von bekannten Phishing-Sites abgleicht. Ist die Site dort verzeichnet, blockiert Opera den Zugriff. Das Changelog informiert über alle Neuerungen.
Siehe auch hier : http://www.dvbcube.org/index.php?topic=17502.0
Quelle : www.heise.de
-
Wie Opera Software in jetzt veröffentlichten Sicherheitsnotizen bekannt gibt, beseitigt die Mitte Dezember bereitgestellte Version 9.10 des Opera-Browsers zwei kritische Fehler, die es Angreifern erlauben könnten, Code einzuschleusen und auszuführen.
Bei vorherigen Versionen kann der Umgang mit speziell präparierten JPEG-Bildern zu einem Pufferüberlauf auf dem Heap führen. Auch wenn Opera in der Überschrift seiner Sicherheitsnotiz suggeriert, dass dies nur einen Absturz des Browsers hervorruft, lässt sich es sich auch ausnutzen, um Code einzuschleusen und auszuführen. Dies bestätigt auch der Sicherheitsdienstleister iDefense, der die Lücke bei Opera gemeldet hatte.
Ähnliches gilt für eine fehlerhafte Typumwandlung bei der JavaScript-Unterstützung für Scalable Vector Graphics (SVG). Durch spezielle Aufrufe der Funktion createSVGTransformFromMatrix kann ein Angreifer veranlassen, dass der Browser mit den Rechten des Anwenders Code auf dem System ausführt.
Der Hersteller stuft beide Lücken nur als "moderate", also als von mittlerer Bedeutung ein. Als Einschränkung führt er auf, dass es nicht trivial sei, den Heap-Overflow verlässlich auszunutzen. Das SVG-Problem träte nicht auf, wenn der Anwender JavaScript deaktiviert hätte. Dass ein Angreifer über diese Lücken schon beim Besuch einer präparierten Webseite beispielsweise Spyware installieren könnte, genügt offensichtlich nicht für eine Einstufung als wichtig oder gar kritisch.
In beiden Fällen ist sowohl die Windows- als auch die Linux-Version von Opera 9.02 betroffen. Dasselbe gilt vermutlich von älteren Fassungen des Browsers. Im Changelog zu Opera 9.10, das zum Release-Zeitpunkt der Browserversion veröffentlicht wurde, tauchen in der Sektion "Sicherheit" keine Hinweise auf diese Schwachstellen auf. Statt dessen sah alles nach einem eher kosmetischen Update aus, was wohl einige Anwender dazu veranlasst haben könnte, den Umstieg aufzuschieben. Denjenigen, die bislang noch keinen hinreichenden Grund dafür sahen, empfiehlt es sich, ihre Opera-Version jetzt schleunigst zu aktualisieren.
Siehe dazu auch:
* A JPEG image with a malformed header can crash Opera Sicherheitsnotiz von Opera
* Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability Sicherheitsnotiz von iDefense
* Vulnerability in createSVGTransformFromMatrix (JavaScript, SVG) Sicherheitsnotiz von Opera
* Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability Sicherheitsnotiz von iDefense
* Ein Haufen Risiko, Pufferüberläufe auf dem Heap und wie man sie ausnutzt Hintergrundartikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/83272
-
Der Software-Hersteller Opera hat eine neue Version seines Browsers bereitgestellt. Es behebt ein Sicherheitsproblem des Download Managers. Angreifer können das Problem ausnutzen, um mit einer fehlerhaften Torrent-Datei einen Buffer-Überlauf zu verursachen und Schadcode einzuschleusen. Von der Sicherheitslücke betroffen ist nur die Windows-Version von Opera. Das Update bereinigt einige weitere Fehler, Details nennt das Changelog.
http://www.opera.com/
Quelle : www.heise.de
-
Die Software-Schmiede Opera hat Release 9.22 ihres gleichnamigen Browsers für Windows, Mac OS X und Linux bereitgestellt. Neben einigen kleinen funktionalen Verbesserungen, etwa beim Zugriff auf "bestimmte" Websites unter Vista, enthält die neue Version eine Reihe von Sicherheitsupdates. Unter anderem beseitigt sie ein Problem, mit dem Angreifer den Browser falsche Web-Adressen anzeigen lassen können. Weitere Details zu den neuen Versionen nennen die Changelogs.
http://www.opera.com/
Quelle : www.heise.de
-
Die Entwickler des Webbrowsers Opera haben die neue Version 9.23 der Software veröffentlicht, die auch eine kritische Sicherheitslücke bei der Verarbeitung von präpariertem JavaScript schließt, durch die Angreifer beliebigen Code auf den Rechnern von Opfern ausführen können. Die Schwachstelle haben sie mit Hilfe des Fuzzing-Werkzeugs jsfunfuzz von der Mozilla-Foundation entdeckt.
In einer Sicherheitsmeldung erörtern die Opera-Entwickler, dass die kritische JavaScript-Lücke auftreten kann, wenn ein Angreifer einen virtuellen Funktionsaufruf auf einen ungültigen Zeiger startet, der allerdings noch auf vom Angreifer übergebene Daten verweist. Außerdem beheben die Entwickler vier weitere Schwachstellen bei der Verarbeitung von JavaScript, die jedoch lediglich zum Absturz des Browsers führen.
Zusätzlich verbessert das Update die Stabilität der Speed-Dial-Funktion und beseitigt Probleme beim Scrollen durch Webseiten, die unter Windows Vista mit manchen Microsoft-Mäusen auftreten können. Da die Entwickler das Opera-Release als Sicherheitsupdate einordnen, sollten Nutzer des Browsers die neue Version zügig herunterladen und installieren.
Siehe dazu auch:
* Advisory: a specially crafted JavaScript can make Opera execute arbitrary code, Sicherheitsmeldung von Opera
* Changelog for Opera 9.23 for Windows, Übersicht der Änderungen in Opera 9.23
* Download der aktuellen Opera-Version
Quelle und Links : http://www.heise.de/security/news/meldung/94399
-
Auf den Servern von Opera Software liegt Release 9.24 des Webbrowsers Opera für Windows, Mac OS X, Linux, Solaris und FreeBSD zum Download bereit. Das Release schließt mehrere Sicherheitslücken. Von einem Problem sind Opera-Installationen betroffen, die externe Anwendungen für Usenet News oder E-Mail einbinden. In einer solchen Konfiguration lässt sich beim Aufruf der Fremdanwendung beliebiger Code ausführen.
Die zweite Lücke eröffnet Angreifern eine Möglichkeit für Cross-Site-Scripting-Attacken. Das Mac-OS-X-Release beseitigt außerdem ein Problem in Adobes Flash-Player, zu dem Opera Software allerdings noch keine Details verrät. Eine Übersicht der Neuerungen geben die Changelogs der jeweiligen Plattformen.
www.opera.com
Quelle : www.heise.de
-
Opera Software hat eine neue Version des gleichnamigen Browsers für Windows, Linux, Mac OS, FreeBSD und Solaris vorgelegt. Abgesehen vom Update der Rendering Engine Presto auf Version 2.1.1 enthält die neue Ausgabe ausschließlich Patches für Sicherheitslücken. Darunter befinden sich gleich mehrere schwerwiegende Probleme, mit denen Angreifer beliebigen Code auf dem PC des Opfers zur Ausführung bringen können – etwa durch lange Hostnamen in file:-URLs. Details nennen die Changelogs (Windows-Version).
Quelle : http://www.heise.de/newsticker/Opera-9-63-schliesst-sieben-Sicherheitsluecken-auf-einen-Streich--/meldung/120500
-
Opera hat in der neuen Version 9.64 des gleichnamigen Web-Browsers kritische Sicherheitslücken geschlossen. Laut Hersteller können sich Nutzer beim Surfen im Web Schadsoftware einfangen, wenn sie mit einer Vorgängerversion eine manipulierte Seite aufrufen. Der Hersteller stellt in einem Advisory einen Fehler beim Verarbeiten von JPEG-Bildern heraus. Dabei kann es zu einer Speicherkorruption kommen, die sich zum Einschleusen von beliebigem Schad-Code eignen soll.
Im ChangeLog ist von zwei weiteren wichtigen Sicherheitsproblemen die Rede: In der neuen Version ist es nicht mehr möglich, dass Webseiten mit Hilfe von Plug-ins beliebigen Skript-Code im Kontext einer anderen Domain ausführen und so beispielsweise Nutzerdaten ausspionieren können. Ein weiterer Fehler sei "moderat schwerwiegend", doch genaue Angaben macht Opera dazu nicht. Opera-Nutzer sollten umgehend auf Version 9.64 umsatteln.
Quelle : www.heise.de
-
Opera 10.01 ist laut Release Notes ein Sicherheits- und Stabilitäts-Upgrade, auf das alle Anwender wechseln sollten. Den Ansporn, dies möglichst bald zu tun, erhalten Anwender durch die Lektüre der Beschreibung einer der Sicherheitslücken: Danach führt die Verarbeitung bestimmter Domain-Namen im Browser zu einer Speicherverletzung, die sich zum Einschleusen und Ausführen von Code ausnutzen lässt. Angreifer könnten mit präparierten URLs in Webseiten die PCs von Besuchern mit Schädlingen infizieren.
Opera stuft das Problem als extrem kritisch ein. Die mit dem Update geschlossene Lücke betrifft sowohl die Windows- und Unix- als auch die Mac-Version. Zudem beseitigt das Update noch eine Spoofing-Schwachstelle und verhindert den unkontrollierten Zugriff auf Feed-Objekte, durch die ein Skript in der Lage ist, automatisch Feeds zu abonnieren. Darüber hinaus behebt das Update diverse kleinere Fehler und Problemchen in der Bedienoberfläche sowie in den Mail-, News- und Chat-Funktionen.
Quelle : www.heise.de
Gibts hier : Klick (http://www.dvbcube.org/index.php?topic=6522.msg120519#msg120519)
-
Opera hat mit Version 10.10 (Opera Unite) seines Browsers auch eine kritische Schwachstelle beseiitigt, durch die Angreifer ein System kompromittieren können. Der auslösende Fehler ist seit rund sechs Monaten bekannt und wurde zuvor bereits in Chrome, Firefox und Seamonkey bestätigt und beseitigt. Daneben sollen aber auch K-Meleon 1.5.x sowie die Bibliotheken von KDE (4.4.3) den Fehler aufweisen, durch den präparierte Webseiten Code auf den Heap schreiben und starten können. Zu den weiteren Neuerungen und Änderungen in Opera 10.10: Opera Unite ist fertig (http://www.dvbcube.org/index.php?topic=6522.msg121995#msg121995).
Kern des Problems ist eine Format-String-Schwachstelle in mehreren Herstellerimplementierungen der C-Funktion dtoa zur Umwandlung von Zeichenketten in Gleitkommazahlen. Ursprüglich entdeckte der Sicherheitspezialist Maksymilian Arciemowicz das Problem in der ähnlichen C-Funktion gdtoa im Juni dieses Jahres in NetBSD. Nach und nach stellte sich heraus, dass weitere Implementierung der libc fehlerhaft waren, darunter OpenBSD, FreeBSD und Mac OS X. Zumindest für OpenBSD 4.5, NetBSD 5.0 und FreeBSD 7.2/6.4 gab es Updates.
Quelle : www.heise.de
-
Mehrere Sicherheitsspezialisten berichten von einem Sicherheitsproblem in Opera. Mit einer falschen Angabe in einem HTTP-Header können Angreifer einen Pufferüberlauf hervorrufen, mit dem sie beliebigen Code auf dem betroffenen System ausführen können. Bestätigt ist die Lücke laut Secunia für die neueste Version von Opera, 10.50 unter Windows. Außerdem könnten laut Secunia auch andere Versionen des Browsers betroffen sein.
Als Schutzmaßnahme empfiehlt es sich, nur vertrauenswürdige Sites aufzusuchen und ausschließlich vertrauenswürdigen Links zu folgen – oder sicherheitshalber den Browser zu wechseln, bis der Hersteller Opera Software Patches bereitstellt. Opera hat laut Register bereits einen Patch angekündigt, auch wenn das Unternehmen sich nicht sicher ist, ob sich das Problem bei aktivierter Datenausführungsverhinderung überhaupt ausnutzen lässt.
Quelle : www.heise.de
-
Opera hat Version 10.54 seines Browsers vorgelegt, um vier Sicherheitslücken zu schließen, von denen der Hersteller eine als extrem gefährlich und eine weitere als hoch gefährlich einstuft. Details dazu will das norwegische Unternehmen erst zu einem späteren Zeitpunkt veröffentlichen, um seine Anwender so lange zu schützen, bis der Großteil auf die neue Version gewechselt ist. Opera empfiehlt, das Update so schnell wie möglich durchzuführen.
Die Mac-Version korrigiert zusätzlich zahlreiche kleinere Fehler und Instabilitäten und deinstalliert nun bei einem Auto-Update von alleine die alte Version. Vergangene Woche hatte Opera Version 10.6 beta für Windows Mac OS X und Unix vorgelegt, die deutlich schneller arbeitet und hübscher aussieht als der Vorgänger.
Siehe dazu auch:
* Opera 10.54 for Windows changelog (http://www.opera.com/docs/changelogs/windows/1054/)
Quelle : www.heise.de
-
Der Hersteller Opera hat Version 10.61 seines gleichnamigen Web-Browsers für Windows, Mac und Linux veröffentlicht, der zahlreiche kleinere Fehler behebt und drei Sicherheitslücken schließt. Eine davon, einen Heap Overflow bei der Verarbeitung von Canvas-Elementen unter HTML5, lässt sich laut Hersteller ausnutzen, um Code in einen PC einzuschleusen und zu starten. Opera empfiehlt deshalb dringend, das Update zu installieren. In den meisten Fällen soll ein Angriff auf die Lücke jedoch nur zum Absturz des Browser führen.
Daneben verbessert die neue Version die Kompatibilität etwa mit dem Google-Kalender und sie erhöht die Stabilität. Eine vollständige Liste der Änderungen steht für Linux , Mac und Windows zur Verfügung.
Quelle : www.heise.de
-
Opera betreibt Versionspflege und hat mit Version 10.63 des kostenlosen Browsers unter anderem fünf Sicherheitslücken geschlossen, von denen eine kritisch ist und laut Hersteller neben Cross Site Scripting (XSS) sogar das Ausführen beliebigen Codes erlauben soll. Eine weitere Lücke können Angreifer zum Datenklau nutzen, indem sie fremde Seiten via CSS auf ihren eigenen Seiten einbetten und anschließend mittels JavaScript auslesen.
Zudem haben die Entwickler an der Stabilität gefeilt und etwa einen Fehler behoben, der beim Start des Browsers für 100 Prozent CPU-Auslastung gesorgt hat. Auch Opera Link und der Unite Messenger sollen nun zuverlässiger arbeiten. Opera 10.63 steht für Windows, Mac OS X und Unix zum Download (http://my.opera.com/desktopteam/blog/2010/10/12/opera-10-63-released) bereit.
Quelle : www.heise.de
-
Der französische Sicherheitsdienstleister hat eine kritische Sicherheitslücke in Webbrowser Opera gemeldet, durch die eine präparierte Webeseite einen Windows-PC mit Schadsoftware infizieren kann. Ursache des Problems ist ein Fehler in "opera.dll" bei der Verarbeitung von HTML-Dokumenten, die Select-Elemente mit einer sehr großen Zahl von Children-Elementen enthalten.
Ursprünglich hatte der Sicherheitsforscher Jordi Chancel den Fehler bereits Anfang Januar gemeldet, selbst aber nur Abstürze damit provozieren können. VUPEN war offenbar in der Lage, einen Exploit zum Einschleusen und Ausführen von Code zu entwickeln und stuft das Problem als kritisch ein. Der Fehler wurde für Opera 11.00 und vorhergehende sowie 10.63 und vorhergehende unter Windows 7 und XP SP3 bestätigt. Einen Patch oder Update gibt es derzeit noch nicht.
Quelle : http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Opera-1175344.html
-
Der Sicherheitsexperte Jose A. Vazquez hat Details über eine kritische Sicherheitslücke im Opera-Browser veröffentlicht, die Angreifer zum Einschleusen von Schadcode nutzen können. Nach Angaben von Vazquez hat er die Lücke bereits vor einem Jahr gefunden und in diesem Jahr samt Proof-of-Concept an den Hersteller gemeldet. Opera habe sich jedoch dagegen entschieden, die Lücke zu schließen.
Vazquez vermutet, dass die Entwickler seinen auf Version 10.6 ausgelegten Exploit mit der aktuellen Version 11.x getestet haben, weshalb dieser unter Umständen nicht funktioniert hat. Statt sich erneut mit Opera in Verbindung zu setzen hat Vazquez den Exploit für die aktuelle Opera-Version 11.51 angepasst und als Metasploit-Modul veröffentlicht. Damit ist im Prinzip nun jeder in der Lage, die Lücke auszunutzen.
Bei der Lücke handelt es sich um einen Speicherfehler, der bei der Verarbeitung von SVG-Inhalten innerhalb von Framesets auftritt. Der Besuch einer verseuchten Webseite genügt, um das System mit Schadcode zu infizieren. Nach Angaben von Vazquez ist der Exploit immerhin in 3 von 10 Fällen erfolgreich. Bei der Pre-Alpha-Version von Opera 12 konnte der Exploit sogar in 6 von 10 Fällen Schadcode ins System einschleusen.
Mit der Veröffentlichung setzt der Sicherheitsexperte den Browserhersteller unter Zugzwang. Opera muss jetzt reagieren, um seine Anwender nicht länger als unbedingt nötig der Gefahr einer Virusinfektion auszusetzen. In seinem Sicherheitsblog hat Opera bislang noch nicht auf die Problematik reagiert. Eine Antwort auf eine Presseanfrage von heise Security steht noch aus.
Quelle : www.heise.de
-
Mit einem Update auf Version 11.52 schließt Opera die kritische Lücke bei der Verarbeitung von SVG-Inhalten innerhalb von Framesets. Damit hat der Browser-Hersteller innerhalb weniger Tage auf die Veröffentlichung eines Exploits für die Lücke reagiert.
Zuvor hatte sich der Entdecker des Sicherheitsproblems beschwert, er habe die Informationen angeblich schon vor fast einem Jahr an Opera weitergeleitet. Nachdem die letzte Version dann immer noch anfällig war, habe er sich entschlossen, die Details und den Exploit zu veröffentlichen. Operas Sicherheitsnotiz enthält keine weiteren Information dazu. Dem Changelog kann man immerhin entnehmen, dass die neue Version auch noch ein paar kleinere Probleme behebt.
Quelle : www.heise.de
-
Mit der Opera-Version 11.64 (http://www.dvbcube.org/index.php?topic=6522.msg173090#msg173090) schließen die Entwickler eine kritische Lücke bei der URL-Verarbeitung, durch die Angreifer unter Umständen Schadcode ins System einschleusen können. Der Browser stolpert über bestimmte URL-Konstrukte und alloziert dadurch einen falschen Speicherbereich. Beim Versuch, in den zugewiesenen Speicherbereich zu schreiben, kann ein Angreifer unter Umständen eigenen Code im Speicher ablegen und ausführen.
Darüber hinaus wurde ein Bug beseitig, durch den verschlüsselt übertragene Webseiten wie PayPal oder eBay nicht geladen wurden. Außerdem wurde die Browserstabiltität und die Kompatibilität zu dem JavaScript-Framework Dojo verbessert. Eine vollständige Liste der Änderungen findet man im Changelog.
Quelle: www.heise.de
-
Der neuen Version 12 seines Browsers schickt Opera nun ein Stabilitäts- und Sicherheitsupdate mit der Versionsnummer 12.01 hinterher. Bei Stabilität und Anzeige will Opera einige Probleme behoben haben. Vor allem aber ist es ein Sicherheitsupdate, dass Angriffsmöglichkeiten wie Cross Site Scripting oder das unfreiwillige Downloaden von im schlimmsten Fall ausführbarem Code verhindern soll.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Opera-12-01-bringt-wichtige-Sicherheitsupdates-1659218.html)
Quelle : www.heise.de
-
Cyber-Ganoven haben das Portal des Web-Browser-Herstellers Opera offenbar missbraucht, um Schadcode zu verbreiten. Das berichtet der Virenschutz-Anbieter Bitdefender. Die Portalseite ist in älteren Opera-Versionen standardmäßig als Startseite eingestellt, in neueren Versionen gibt es einen an prominenter Stelle im Schnellstart-Menü, das beim Öffnen eines neuen Tabs erscheint.
Der ganze Artikel (http://www.heise.de/security/meldung/Opera-Website-soll-Online-Banking-Trojaner-verteilt-haben-1751107.html)
Quelle : www.heise.de
-
Wieder einmal zeigt sich, dass solche Plugins wie für PDF-Darstellung im Browser absolut nix zu suchen haben.
Also ändere man die Standardprozedur für PDF unbedingt auf Speichern, egal ob ein Plugin existiert und entfernt werden kann, oder ob ein solches vielleicht blödsiinnigerweise direkt integriert wurde, wie ja jetzt für den IE angekündigt.
Insbesondere bedenke man dabei, dass gerade Online-Banking-Seiten regelmäßig mit PDF arbeiten, z.B. für Kontoauszüge.
Die aber sollte man ohnehin stets lokal speichern, um sie später anstelle der Papier-Belege sicher zu verwahren.
Also sollte man den Speicherort des Browsers sowieso kennen (und regelmäßig aufräumen).
Weiterhin empfehle ich dringend, zum Online-Banking niemals den Standardbrowser zu verwenden, sondern eine portable Version eines anderen Typs, die dann ausschließlich für diesen einen Zweck benutzt wird.
Sowas frisst wirklich kein Brot und passt auch leicht z.B. auf einen x-beliebigen Stick.
Dann gehört entweder die https Einstiegsseite für's Online-Banking dort als Startseite eingerichtet, oder von mir aus about:blank (plus genau ein Lesezeichen)
Cookies nur direkt von der Domain der Bank dürfen behalten werden, alle anderen sind wie der Cache beim Schließen des Browsers automatisch zu löschen.
Vor einem (ausschließlich manuellen) Update dieses Browsers wird der (bei portablen ja ganz leicht auffindbare) Profil-Ordner in Kopie gesichert, danach ggf. einfach zurückkopiert.
In so einem exklusiv für's Banking genutzten Browser könnte es sogar einen gewissen Sicherheitsgewinn bedeuten, dieses eine Passwort zu speichern, denn das dürfte den meisten (später eventuell auftretenden) Keyloggern die "Arbeit" erschweren...
Jürgen
p.s. ganz pessimistisch erwarte ich bald Angriffe auf die zur automatischen Update-Suche verwendeten Adressen / Seiten.
-
Opera hat Version 12.13 seines Desktop-Browsers veröffentlicht. Der Liste von Änderungen (http://www.opera.com/docs/changelogs/unified/1213/) zufolge haben sich die Entwickler der Sicherheit und Stabilität angenommen.
So soll eine Lücke im Zusammenhang mit DOM-Events beseitigt sein, die das Einschleusen beliebigen Codes ermöglichte. Ebenfalls beseitigt wurde ein Fehler bezüglich Clip-Pfaden in SVG, der das Ausführen von Schadcode erlaubte. Andere Korrekturen beheben Bugs beim Starten ohne Internet-Verbindung, bei Navigieren zwischen Webseiten und bei der Nutzung von Facebook.
In Antworten auf die Ankündigung berichten Nutzer allerdings von Abstürzen beim Versuch, den Browser zu aktualisieren. Den Beiträgen zufolge könnten sie in Zusammenhang mit der 64-Bit-Version oder mit Plug-ins stehen.
Quelle : www.heise.de
-
Die Entwickler des Opera-Browsers haben einen Angriff auf ihre Netzwerke eingeräumt, bei der ein altes, abgelaufenes Code-Signing-Zertifikat geklaut und im Anschluss zum signieren eines Trojaners genutzt wurde. Dieser tarnte sich unter anderem als Browser-Update, das offenbar automatisch an einige tausend Opera-Nutzer ausgeliefert wurde. Zu einem Update auf die neueste Opera-Version wird nun dringend geraten.
Bisher sei noch nicht geklärt, wer hinter dem Angriff steckt, berichtet Opera-Mitarbeiter Sigbjørn Vik in einem Blogpost. Klar sei aber, dass der Angriff am 19. Juni stattfand und zwischen 1:00 Uhr und 1:36 Uhr (Weltzeit) signierte Malware an Nutzer ausgeliefert worden sein muss. Nach Deutscher Zeit wären damit Nutzer betroffen, denen zwischen 3:00 Uhr und 3:36 Uhr morgens Opera Software angeboten wurde.
Nutzerdaten und andere Datensätze sollen nicht kopiert worden sein. Der Angriff wird allerdings noch von Opera untersucht. Ein Scan bei VirusTotal zeigt, dass bisher etwas mehr als die Hälfte der dort eingesetzten Engines den signierten Schädling erkennen. Zur Sicherheit hat Opera nun ein neues Update des Opera-Browsers mit neuem Zertifikat angekündigt. Nutzer sollten dies so schnell wie möglich einspielen.
Quelle : www.heise.de