Thema: Opera ...

[SiLæncer]

Software-Hersteller Opera hat die Preview 2 der Version 7.6 seines gleichnamigen Browsers für Windows veröffentlicht. Die Dateien für die Sprachnavigation, die seit der ersten Preview von Opera 7.6 verfügbar ist, wurden in einen separaten Download ausgelagert; die Installationsdatei des Browsers ist (wieder) nur 3,6 MByte groß. In der ersten Preview-Release hatten die beiliegenden Sprachdateien den Download auf für Opera stattliche 6 MByte anwachsen lassen.

Die Vorab-Release bringt auch zahlreiche Detailverbesserungen. So hat Opera die zuletzt ausufernden Menüs aufgeräumt und abgespeckt. Das Window-Menü wurde zum Beispiel komplett entfernt; seine Funktionen finden sich im Kontext-Menü der Fenster-Reiterflächen. Eine komplette Liste aller Neuerungen zählt das Changelog auf.

Mit der Preview-Release regiert Opera auch auf eine Warnung, die Browser mit Mehrfensteroberflächen generell betrifft. Dabei können verdeckte Seiten Skriptbefehle ausführen, der Anwender denkt jedoch, er interagiere mit der im Vordergrund dargestellten Seite. So landen unter Umständen Eingaben mit Passwörtern oder anderen wichtigen Daten auf dem falschen Server. Mit der Preview-Version 2 funktioniert dieser Trick nicht mehr.

Opera will allerdings laut einem Advisory für die aktuelle Release seines Browsers, Version 7.54, keinen Bugfix für das Mehrfensterproblem veröffentlichen; stattdessen vertröstet man die Nutzer auf Version 7.6.

Quelle : www.heise.de

[SiLæncer]

Browser in Version 7.54u1 veröffentlicht

Opera hat ein Sicherheitsupdate seines Browsers in der Version 7.54 für alle Plattformen veröffentlicht. Die neue Version 7.54u1 schließt vier potenzielle Sicherheitslücken, die in den vergangenen Tagen bekannt geworden waren, aber nicht nur in Opera enthalten sind.
   
So soll die neue Version verhindern, dass namentlich benannte Frames oder Fenster von Angreifern übernommen werden können, auch der von Secunia entdeckte neue Phishing-Trick soll behoben worden sein. Auch ein Problem, das Angreifern erlaube, eine ausführbare Datei hinter einem unverfänglichen Dateitypen zu verstecken, soll behoben worden sein.

Ebenfalls soll der Browser nun verhindern, dass die Ende November 2004 bekannt gewordene Sicherheitslücke in Java ausgenutzt werden kann. Zudem wurde die Unterstützung der Cache-Direktive "must-revalidate" verbessert.

Opera 7.54u1 steht ab sofort bei Opera für alle unterstützten Plattformen zum Download bereit. Ein Security-Advisory geht auf die beseitigten Sicherheitsprobleme ein.

Quelle : www.golem.de

[SiLæncer]

Mit einem zweiten Sicherheits-Update für Opera 7.54 schließt der norwegische Browser-Hersteller zwei Sicherheitslöcher und umgeht einen im Dezember 2004 bekannt gewordenen Phishing-Trick. Mit Hilfe dieses Tricks konnten Angreifer den Inhalt von Pop-Up-Fenstern manipulieren und sich so womöglich Zugriff auf vertrauliche Informationen verschaffen.

Mit Opera 7.54u2 lässt sich der im Dezember 2004 bekannt gewordene Phishing-Trick nicht mehr ausnutzen, um die Inhalte von Pop-Up-Fenstern unberechtigt zu verändern. Dieser als nicht gefährlich eingestufte Mechanismus wurde in einer Reihe von Web-Browsern entdeckt und kann von einem Angreifer dazu missbraucht werden, den Inhalt eines Pop-Up-Fenstern zu manipulieren und sich so Zugriff auf vertrauliche Daten zu verschaffen.

Zudem schließt die aktuelle Opera-Version eine als moderat eingestufte Sicherheitslücke, über die ein Angreifer einen Download-Dialog manipulieren und Anwender so zum Ausführen von schadhaftem Programmcode bringen konnte.

Ein weiteres nun behobenes Sicherheitsloch betrifft nur die Unix-Versionen von Opera, die beim Öffnen von .sh- oder .desktop-Dateien sowie ausführbaren Programmdaten aus dem Browser heraus auftreten kann. Mit der aktuellen Version erscheint in solchen Fällen nun zuvor ein Warnhinweis. Zudem wurde in den Unix-Versionen von Opera ein Programmfehler behoben, der den Browser beim Import von E-Mails zum Absturz bringen konnte.

Opera 7.54u2 für Windows, Linux, MacOS X, FreeBSD und Solaris steht ab sofort in englischer Sprache in einer kostenlosen Version mit eingeblendeten Werbebannern mit und ohne Java-Engine zum Download bereit. Die deutsche Sprachdatei von Opera 7.54 lässt sich mit der aktuellen Version verwenden. Zur Abschaltung der Werbebanner in der Software fällt eine Registrierungsgebühr von 34,- Euro an.

Quelle und Links : http://www.golem.de/0502/36115.html

[SiLæncer]

Opera Software hat das Release 8.01 seines gleichnamigen Browser-Pakets für Windows, Linux und Mac OS zum Download bereitgestellt. Es bereinigt gleich eine Reihe von Sicherheitsproblemen, die es Angreifern unter anderem ermöglichen, Dateien des Benutzers auszuspähen.

Außerdem hat der Hersteller wieder an etlichen Ecken der Oberfläche gefeilt. Als Neuerung hat Opera so genanntes Browser JavaScript vorgestellt - mit vom Hersteller bereitgestellten JavaScripts bügelt der Browser Inkompatibilitäten einzelner Sites aus. Auf der Homepage listet Opera eine Reihe von Sites, die mit Browser JavaScripts bedacht werden, darunter Microsofts Entwickler-Site msdn.microsoft.com und nvidia.com. Eine Übersicht aller neuen Funktionen und der Sicherheitspatches liefert das Changelog.

Mit Opera 8.01 für Mac OS X steht jetzt eine fertige Version des Browser für Apples Unix-System bereit. Es setzt Mac OS X 10.2 oder eine neuere Version voraus. Der Funktionsumfang der Mac-Varianten soll dem der Versionen für die anderen Plattformen entsprechen.

Quelle und Links : http://www.heise.de/newsticker/meldung/60687

[SiLæncer]

Der norwegische Softwarehersteller Opera hat seinen gleichnamigen Webbrowser in Version 8.02 für Windows, Mac OS X und Linux zum Download freigeben. Wie ein Opera-Entwickler bereits angekündigt hatte, enthält die finale Version von Opera 8.02 keine Bittorrent-Unterstützung, die in eine Technical Preview von Opera 8.02 eingebaut worden war. Die neue Ausgabe bringt dafür Korrekturen für Sicherheitsprobleme und einige kleinere Bug-Fixes, erklärt Opera in der Ankündigung von Opera 8.02

Insgesamt behebt die neue Release drei Sicherheitslücken: Ein Bug im Download-Dialog, mit dem Anwendern falsche Files untergeschoben werden können, sowie Probleme beim Bilder- und Link-Handling. Advisories zu den geschlossenen Sicherheitslücken verlinkt Opera im Changelog zur Version 8.02; im Changelog sind auch Details zu den weiteren Bug-Fixes zu finden.

Quelle und Links : http://www.heise.de/newsticker/meldung/62204

[SiLæncer]

Dem in Opera integrierten Mail-Client lassen sich durch eine vom Sicherheitsdienstleister Secunia entdeckte Lücke Java-Scripte beispielsweise als Bilder getarnt unterjubeln. Durch einen weiteren Fehler öffnet Opera Java-Scripte aus dem Benutzer-Cache-Verzeichnis, ohne eine Warnmeldung auszugeben. Dies ist insofern problematisch, als dass Dateianhänge, die vom Mail-Programm nicht selbst verarbeitet werden können, bei Doppelklick darauf in das Benutzer-Cache-Verzeichnis gespeichert und mit einer Anwendung geöffnet werden, die durch das "Content-Type"-Feld angegebene Dateitypen bearbeiten kann.
Anzeige

Beispielsweise lässt sich eine HTML-Datei mit Javascript-Code gegenüber dem Opera-Benutzer als Bild tarnen. Dazu muss dem Dateinamen nur ein Punkt angefügt werden: aus böse.html wird schönes_bild.jpg.. Das Content-Type-Feld enthält jedoch als korrekte Kodierung HTML. Bei Doppelklick auf diese Datei speichert Opera Mail den Anhang in das Cache-Verzeichnis und startet den Browser mit dieser Datei -- ohne Warnmeldung. Dieses Script hat nun lokale Zugriffsberechtigungen und kann Dateien lesen, schreiben und auch übertragen.

Betroffen ist Opera in Version 8.02 (erschienen Ende Juli dieses Jahres) und möglicherweise auch ältere Versionen. Die heute veröffentlichte Version 8.5 enthält die Fehler nicht mehr.

Siehe dazu auch:

    * Security Advisory von Secunia
    * Download von Opera 8.50


Quelle und Links : http://www.heise.de/newsticker/meldung/64099

[SiLæncer]

Anwender des Webbrowsers Opera unter Unix/Linux sollten auf die neueste Version 8.51 updaten, in der eine kritische Sicherheitslücke geschlossen wurde. Nach Angaben des Entdeckers der Lücke, der Sicherheitsdienstleister Secunia, kann ein Angreifer über manipulierte URLs Shell-Kommandos einschleusen und mit den Rechten des Anwenders ausführen.

Ursache des Problems ist die fehlerhafte Filterung des Shell-Skripts zum Aufruf von Opera, das sich bei der Übergabe der URL durch andere Applikationen Befehle unterschieben lässt. Unter anderem ruft der E-Mail-Client Evolution auf diese Weise Opera auf, wenn der Anwender einen Link in einer Mail anklickt.

Aber auch Windows-Anwender von Opera sollten auf die neue Version wechseln, da zusätzlich auch eine Lücke im Flash-Player geschlossen wurde, mit der sich ein System ebenfalls kompromittieren lässt.

Siehe dazu auch:

    * Download 8.51, Ankündigung von Opera
    * Opera Command Line URL Shell Command Injection, Fehlerreport von Secunia


Quelle und Links : http://www.heise.de/security/news/meldung/66491

[SiLæncer]

Der Webbrowser Opera hat in der neuesten Version 8.52 einige Sicherheits-Updates verpasst bekommen. Der norwegische Hersteller empfiehlt daher den Umstieg, der als Downloadpaket für Windows, Solaris/SPARC, Mac OS X/PPC, Linux für Sparc/PPC/i386 und FreeBSD i386 bereitsteht. Ein Universal Binary für Intel-basierte Mac-Rechner soll es erst mit der kommenden Version 9 des Browsers geben, die aktuell als Technology Preview 2 verfügbar ist; mittlerweile bietet Opera auch wöchentlich aktualisierte Vorabversionen seiner neuen Browserausgabe an.

In Opera 8.52 wurde ein Darstellungsfehler behoben sowie drei Sicherheitslücken gestopft: Die Entwickler haben abgelaufene Zertifikate von Trustcenter ersetzt sowie das Handling des Online-Statusprotokolls für Zertifikate (OCSP) verbessert. Außerdem wurde die neue Version um einen Fehler bereinigt, der bislang unter bestimmten Umständen zu einer fehlerhaften Anzeige der URL geführt hat.

Quelle und Links : http://www.heise.de/security/news/meldung/69756

[spoke1]

Der Hersteller Opera hat die aktualisierte Version 8.54 seines gleichnamigen Browsers für alle Betriebssysteme veröffentlicht. Zumindest für die Windows-Version handelt es sich nach Angaben von Opera um ein Security Upgrade, das keine neuen Funktionen mitbringt, sondern nur Lücken stopft und Fehler beseitigt. So sind die PCs von Windows-Anwendern nach der Installation fortan nicht mehr für Angriffe über manipulierte Flash-Animationen anfällig. Ursache der Schwachstelle war eine vor mehr als vierzehn Tagen gemeldete Lücke im Flash-Plug-in von Adobe (ehemals Macromedia), über die sich Code in ein System einbringen und starten ließ.

mehr dazu:

http://www.heise.de/newsticker/meldung/71699

[SiLæncer]

Im Webbrowser Opera könnten Angreifer mit präparierten JPEG-Bildern beliebigen Code einschleusen. Grund dafür ist eine nicht ausreichend dimensionierte Ganzzahlvariable im Browsercode zum Verarbeiten der Bilder.

Durch manipulierte JPEG-Bilder, die sehr große Werte für die Höhe oder Breite in bestimmten Feldern der JPEG-Header aufweisen, kann eine Integer-Variable überlaufen. In der Folge wird ein zu kleiner Speicherbereich für das Bild reserviert, ein Pufferüberlauf tritt auf.

Betroffen sind Opera 8.54 und ältere Versionen. Der Hersteller hat den Fehler in der am Dienstag erschienenen Version 9.0 des Browsers beseitigt. Alle Opera-Nutzer sollten daher umgehend auf die neue Version aktualisieren.

Siehe dazu auch:

    * Opera JPEG Processing Integer Overflow Vulnerability, Sicherheitsmeldung von VigilantMinds
    * Download der aktuellen Opera-Versionen

Quelle und Links : http://www.heise.de/security/news/meldung/74603

[SiLæncer]

Update:

Allerdings ist in Opera 9 auch schon eine Schwachstelle bekannt, durch die der Browser mit überlangen URLs in Links abstürzen kann. Bislang ist jedoch noch unklar, ob sich über diese Schwachstelle auch Schädlinge einschleusen lassen.

Opera 9 DoS, Fehlermeldung von Critical Security - http://www.critical.lt/?vuln/349

Quelle : www.heise.de

[SiLæncer]

Opera Software hat Release 9.02 seines Web-Browsers für Windows, Mac OS, Linux, FreeBSD und Solaris zum Download bereitgestellt. Der Browser behebt in der Windows-Version eine Sicherheitslücke in der SSL-Implementierung, die unter Umständen dazu führen kann, dass ungültige Zertifikate nicht erkannt werden. Daneben enthält Version viele kleine Verbesserungen; das Changelog informiert über die Details.

Changelog : http://www.opera.com/docs/changelogs/windows/902/

Quelle : www.heise.de

[SiLæncer]

iDefense hat eine Sicherheitslücke im Webbrowser Opera entdeckt. Beim Verarbeiten langer URLs kann ein Pufferüberlauf auftreten, durch den Angreifer nach Einschätzung von iDefense beliebigen Code mit den Rechten des Opera-Nutzers ausführen können. Der Browserhersteller stuft das Risiko allerdings nur als moderat ein und spricht von einem möglichen Absturz.

Laut iDefense nutzt Opera 9.0 und 9.01 einen Puffer mit der festen Größe von 256 Bytes zum Kopieren einer Adresse beim Verarbeiten von URLs in HTML-Tags. Dabei findet keine Längenprüfung der Adresse statt. Angreifer können so etwa mit präparierten Bildern und überlangen URLs ausreichend Kontrolle über den Heap erlangen und so schädliche Programme einschleusen und ausführen.

Opera Software hat mit Opera 9.02 bereits am 22. September eine neue Version des Browsers zum Download bereitgestellt, in der der Fehler nicht mehr enthalten ist. Nutzer der Vorversionen sollten zügig auf die neue Version aktualisieren.

Siehe dazu auch:

    * Opera Software Opera Web Browser URL Parsing Heap Overflow Vulnerability, Sicherheitsmeldung von iDefense
    * Very large link addresses can cause Opera to crash, Fehlermeldung von Opera Software
    * Ein Haufen Risiko, Hintergrundartikel zu Heap-basierten Pufferüberläufen auf heise Security
    * Download der fehlerbereinigten Version Opera 9.02

Quelle und Links : http://www.heise.de/security/news/meldung/79645

[SiLæncer]

Für die kommende Version 9.1 des Browsers planen die Opera-Entwickler einen zuschaltbaren Phishing-Schutz, der sich mit den entsprechenden Funktionen in Internet Explorer 7 und Firefox 2 vergleichen lässt. Dabei übermittelt Opera jede zum ersten Mal angesurfte Website an einen Prüfdienst; dieser ist auf den Opera-Servern gehostet und greift auf die Datenbestände von GeoTrust zu. Der Browser übermittelt für diesen Zweck die Domain und den Hashwert der vollständigen URL.

Der Prüfserver antwortet mit einer Einschätzung der URL (ok, zweifelhaft oder betrügerisch), ohne die IP-Adresse des Anfragenden zu speichern. Der Browser cachet die Ergebnisse; ein Zeitstempel regelt, wann die gecachete Information aufgefrischt werden muss. Je nach Ergebnis der Prüfung zeigt Opera ein "i" (ok) oder ein "?" rechts in der Adresszeile an (wo jetzt schon die Informationen zu verschlüsselten Verbindungen stehen) oder blockiert die Seite mit einem Warnhinweis. Die Anfrage beim Prüfserver soll die Verbindungsgeschwindigkeit nicht beeinträchtigen, da sie asymmetrisch im Hintergrund abläuft.

Quelle : www.heise.de

[SiLæncer]

Opera Software hat eine neue Version seines Browser für Windows, Linux und Mac OS veröffentlicht. Neben diversen Bugfixes enthält Opera 9.10 einen überarbeiteten Phishing-Schutz. Ist dieser aktiviert, sendet er die URLs der besuchten Sites an einen Opera-Server, der sie mit einer Datenbank von bekannten Phishing-Sites abgleicht. Ist die Site dort verzeichnet, blockiert Opera den Zugriff. Das Changelog informiert über alle Neuerungen.

Siehe auch hier : http://www.dvbcube.org/index.php?topic=17502.0

Quelle : www.heise.de