Opera 9 korrigiert schweres Sicherheitsleck

Manipulierte JPEG-Bilder gestatten Code-Ausführung. Erst jetzt wurde bekannt, dass die Version 9 von Opera ein schweres Sicherheitsloch im Browser beseitigt. Bereits die Ansicht manipulierter JPEG-Bilder genügt, damit Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Einen Sicherheits-Patch für Opera 8.x gibt es bislang nicht.

23. Juni 2006 um 10:08 Uhr / Ingo Pakalski

72 Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler in Opera(öffnet im neuen Fenster) tritt bei der Darstellung von JPEG-Bildern auf, so dass bereits der Besuch einer Webseite genügen kann, um Opfer einer Attacke zu werden. Durch sehr hohe Höhen- und Breitenangaben in einer JPEG-Datei kommt es im Browser zu einem Buffer Overflow. Dieser lässt sich von Angreifern dazu missbrauchen, schadhaften Programmcode zu starten. Das Sicherheitsloch soll in allen Opera-Versionen außer in Opera 9 stecken.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

Werkstudent*in Sales Support & Datenmanagement (18Std./Woche) Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund (öffnet im neuen Fenster)

Kundenbetreuer (m/w/d) im technischen Anwendungssupport für die Softwarelösung im Bereich eVergabe Staatsanzeiger für Baden-Württemberg GmbH & Co. KG, Stuttgart (öffnet im neuen Fenster)

MES-Key-User / Systemadministrator (m/w/d) Diehl Defence GmbH & Co. KG, Überlingen (öffnet im neuen Fenster)

Senior Fullstack Softwareentwickler (f/m/d) Hensoldt, Fürstenfeldbruck,Berlin (öffnet im neuen Fenster)

Domänenarchitekt (w/m/d) für die Domänen Registermodernisierung und Informationssicherheit Komm.ONE, Reutlingen,Heilbronn,Ulm,Freiburg im Breisgau,Heidelberg,Stuttgart,Karlsruhe (öffnet im neuen Fenster)

IXOS Profi (m/w/d) für den Außendienst PHARMATECHNIK GmbH & Co. KG, Berlin (öffnet im neuen Fenster)

IT Security Analyst (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Nutzer von Opera 9 sind von dem Problem nicht mehr betroffen. Wer noch Opera 8.x einsetzt, sollte also möglichst bald auf die aktuelle Fassung wechseln. Bisher gibt es von Opera keinen Patch für die Version 8.x, um dieses Sicherheitsloch zu schließen. Zudem ist nicht zu erwarten, dass der Fehler in Opera 8.x noch korrigiert wird, weil die Norweger üblicherweise keine Sicherheits-Patches für ältere Browser-Versionen bereitstellen.

Ein ungefährliches Sicherheitsloch(öffnet im neuen Fenster) wurde bereits in Opera 9 entdeckt. Durch lange Zeichenketten in HREF-Tags lässt sich der Browser zum Absturz bringen. Die Einschleusung von Programmcode ist darüber allerdings nicht möglich, so dass der Browser bei Bedarf nur neu gestartet werden muss. Da Opera im Falle eines Absturzes schon seit langem alle aufgerufenen Webseiten wieder lädt, kann der Nutzer in einem solchen Fall an der bisherigen Stelle weiterarbeiten.

Ein ausführlicher dreiseitiger Bericht auf Golem.de geht auf die Neuerungen und Veränderungen in Opera 9 ein und erklärt diese.

Zur Startseite 72 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Opera 9 mit Widgets und BitTorrent besteht Acid2-Test

Neue Opera-Version mit Tab-Vorschau und seitenspezifischen Einstellungen. Ab sofort steht der Webbrowser Opera 9 als Final-Version kostenlos zum Download bereit. Der Browser beherrscht nun den Umgang mit BitTorrent-Downloads, kann sich über Widgets erweitern lassen, bietet einen Werbeblocker und besteht den Acid2-Test. Die Rendering Engine Presto unterstützt die wichtigsten Funktionen für Webapplikationen, um den Anforderungen von Web 2.0 alias AJAX gewachsen zu sein.

Opera 8.02 für Solaris nachgereicht

Aktuelle Opera-Version schließt Sicherheitslücken. In der vergangenen Woche veröffentlichte Opera die um Sicherheitslücken und Programmfehler bereinigte Version 8.02 des norwegischen Browsers. Nun reicht der Hersteller die bislang fehlende Version für Solaris nach. Mit Opera 8.02 werden insgesamt drei Sicherheitslücken in dem Browser geschlossen.

Relevante Themen