Details über eine kritische Sicherheitslücke im Opera-Browser hat der Sicherheitsexperte Jose A. Vazquez veröffentlicht, die Angreifer zum Einschleusen von Schadcode nutzen können. Nach eigenen Angaben hat er die Lücke vor einem Jahr gefunden und im laufenden Jahr samt Proof-of-Concept an den Hersteller gemeldet. Jedoch habe sich Opera dagegen entschieden, die Lücke zu schließen.

Es handelt sich bei der Lücke um einen Speicherfehler, der bei der Verarbeitung von SVG-Inhalten innerhalb von Framesets auftritt. Es genügt der Besuch einer verseuchten Webseite, um das System mit Schadcode zu infizieren. Nach Angaben von Vazquez ist sein Exploit in 3 von 10 Fällen erfolgreich. Der Exploit konnte bei der Pre-Alpha-Version von Opera 12 sogar in 6 von 10 Fällen Schadcode ins System einschleusen.

Der Sicherheitsexperte setzt mit der Veröffentlichung seines Exploit den Browserhersteller unter Zugzwang. Jetzt muss Opera reagieren, um seine Anwender nicht länger als nötig der Gefahr einer Virusinfektion auszusetzen. Opera hat in seinem Sicherheitsblog bislang noch nicht auf die Problematik reagiert.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE