• Opera 9.61: nuova versione, nuova vulnerabilità

    opera_logo.jpg

    Non sono passate che poche ore dal rilascio dell’update di sicurezza 9.61 di Opera, e ecco che il browser norvegese è colpito da una nuova vulnerabilità di tipo Cross-site Scripting.

    Il problema deriva da una errata gestione della cronologia ed è illustrato nei dettagli in un Vulnerability Advisory a cura di Roberto Suggi-Liverani.

    Dalla pubblicazione dei dettagli all’exploit ufficiale il passo è stato breve. E infatti il ricercatore Aviv Raff ha quasi immediatamente pubblicato un proof of concept: una semplice pagina Web visitata con il browser incriminato permette l’avvio della calcolatrice di Windows.

    Si tratta di una prova innocua, ma è chiaro che la portata di un tale attacco non è da sottovalutare: una pagina Web creata ad arte potrebbe utilizzare il browser per eseguire una serie di operazioni come la cancellazione di file o l’installazione di malware.

    Non è la prima volta che Opera cade per colpa della cronologia in una vulnerabilità di tipo Cross-site Scripting: tra i vari bachi curati da Opera 9.61 c’era una falla simile e il ripetersi del problema non è certo un buon segno per il browser norvegese.

    Fino al rilascio di Opera 9.62, gli utenti non possono far altro che utilizzare un browser differente.

    Tags:

    Se vuoi aggiornamenti su Opera 9.61: nuova versione, nuova vulnerabilità inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Engelium dice:

      Uhmm…. in realtà qualcosa non quadra perchè a me parte solo la II parte dello script (quella del client email) mentre la calcolatrice non riesce a lanciarla… ad ogni modo non credo che impiegheranno molto a correggere la falla

    2. Il proof della calcolatrice è stato effettivamente eliminato dalla pagina web del test (non saprei dire il perché). Non ho potuto fare una prova diretta, visto che su Linux la calcolatrice di Windows non c’è ;-P .

    Commenta

    Your email address will not be published. Required fields are marked *