• IT-Karriere:
  • Services:

Sicherheitslücke verschleiert Dateiendung im Opera-Browser

Ähnliche Sicherheitslücke wie im Internet Explorer vom Januar 2004

Ein Ende Januar 2004 entdecktes Sicherheitsloch im Internet Explorer beim Umgang mit gefälschten CLASSIDs wurde nun auch in der Windows-Version des Opera-Browsers gefunden: Beiden Browsern können Dateien mit gefälschten Endungen untergeschoben werden, wie die Sicherheitsseite Secunia berichtet.

Artikel veröffentlicht am ,

Dem Browser Opera lässt sich mindestens ab der Windows-Version 7.x über eine gefälschte CLASSID etwa eine vermeintlich ungefährliche PDF-Datei unterschieben, bei der es sich tatsächlich um eine HTML-Datei handelt. Derartig gefälschte Daten fängt Opera ebenso wenig wie der Internet Explorer ab. Allerdings startet Opera im Unterschied zum Internet Explorer in der Standard-Konfiguration in einem solchen Fall nicht den Acrobat Reader, sondern zeigt ein Windows-Dialogfeld zum Speichern oder Öffnen der Datei.

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. S-Kreditpartner GmbH, keine Angabe

Entscheidet man sich in dem Opera-Dialog für das Öffnen der vermeintlichen PDF-Datei führt der Browser den HTML-Code aus, was einem Angreifer ermöglicht, gefährlichen Programmcode auf ein fremdes System zu laden. Als Abhilfe sollten derartige Dateien nicht im Browser geöffnet, sondern vorher lokal auf dem Rechner gespeichert und von dort ausgeführt werden, denn der Windows Explorer bemerkt dann die Fälschung und startet die Datei nicht. Secunia zeigt anhand eines Beispiel-Codes, welche Folgen dieses Sicherheitsleck hat, indem eine HTML-Datei als vermeintliches PDF-Dokument in Opera geöffnet wird.

Bislang bietet Opera keinen Patch zur Beseitigung der Sicherheitslücke an. Secunia berichtet, dass Opera ab der Windows-Version 7.x von dem Sicherheitsproblem betroffen ist; ob auch frühere Windows-Fassungen des Browsers dieses Sicherheitsleck aufweisen, wurde bislang nicht geprüft. Auch Microsoft machte bisher keine Anstalten, das im Januar 2004 entdeckte Sicherheitsloch mit einem Patch zu bereinigen. Auch die ähnliche Sicherheitslücke in Windows XP vom Januar 2004 wurde bislang nicht von Microsoft repariert, auch wenn Microsoft seinen monatlichen Patch-Day im Februar 2004 bereits zwei Mal veranstaltete.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 79,54€ (Preis wird an der Kasse angezeigt. Vergleichspreis 93,37€)
  2. (u. a. Forza Horizon 4 - Ultimate Edition für 49,99€, ARK: Survival Evolved für 10,99€, Human...
  3. (u. a. Call of Duty: Modern Warfare für 52,49€, Forza Horizon 4 für 34,99€, Red Dead...
  4. (u. a. Conan Exiles für 12,49€, Stellaris - Galaxy Edition für 5,49€, Green Hell für 9...

jello 13. Feb 2004

jepp. daher frage ich mich, warum ein nutzer diese PDF öffnen sollte... außer er ist...

fabian 12. Feb 2004

liegt wohl daran das linux ein 32 bit betriebsystem ist und deshalb nicht mit einem 16bit...

patch 12. Feb 2004

genau alles was nicht auf einem 86er lauffähig ist, ist verdammt schlecht ;o)

nomad 12. Feb 2004

äähm, LOL! wie schlecht ...

Marc 12. Feb 2004

Anonymous hat so viele Vorurteile dass an eine Diskussion nicht zu denken ist... Benutze...


Folgen Sie uns
       


Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial

Wir erklären, wie sich das eigene Gesicht durch ein beliebiges animiertes Foto ersetzen lässt.

Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial Video aufrufen
    •  /