Opera 10.63 beseitigt Sicherheitslücken im Browser
Die norwegische Browser-Schmiede Opera hat seinen gleichnamigen Browser in der neuen Version 10.63 für Windows, Mac und Linux bereit gestellt. Darin haben die Opera-Entwickler fünf Sicherheitslücken beseitigt und eine ganze Reihe weiterer Fehler behoben.
Eine der fünf im Changelog aufgeführten Schwachstellen ist eine XSS-Lücke (Cross-Site Scripting), die es einem Angreifer ermöglichen kann Code einzuschleusen, die Konfiguration von Opera zu manipulieren und in der Folge eingeschleusten Code auf dem System auszuführen. Diese Lücke ist daher als kritisch eingestuft.
Eine weitere XSS-artige Lücke betrifft ebenfalls Domain-übergreifende Operationen, in diesem Fall CSS (Cascading Style-Sheets). Ein Angreifer kann Opera dazu bringen eine Datei von einem fremden Server wie eine CSS-Datei zu behandeln, die von dem gleichen Server stammt wie das geladene Dokument. Dadurch kann fremder Script-Code auf das Dokument zugreifen und Informationen abgreifen. Ein denkbarer Angriffsvektor beträfe die Nutzung von Web-Mail.
Ein von Opera als gering eingestuftes Risiko geht von einem Fehler bei der Behandlung von Javascript-Code aus, der die Fenstergröße verändert. Ein Angreifer könnte die Größe des Browser-Fensters so manipulieren, dass im sichtbaren Teil der Adresszeile nicht der Anfang der URL sondern ein anderer Teil zu sehen ist. Damit könnte der Benutzer über die tatsächliche aufgerufene URL getäuscht werden, wodurch etwa Phishing-Angriffe erleichtert würden.
