Kritische Sicherheitslücke in Opera 7 entdeckt

4. Februar 2003, 14:28
2 Postings

Sicherheitsfirma meldete mehrere Angriffspunkte in Zusammenhang mit Java - Noch kein Patch verfügbar

Laut einer Meldung der israelischen Sicherheitsfirma GreyMagic finden sich in der neuesten Version des norwegischen Browsers Opera kritische Sicherheitslücken in Zusammenhang mit JavaScript. Obwohl diese Gefahrenherde schon seit der Beta-Version bekannt sind, habe der Hersteller bislang nicht reagiert - so GreyMagic.

Keine Patches vom Hersteller

Mehrere JavaScript-Sicherheitslecks im Windows-Browser Opera 7 wurden von GreyMagic bereits in der Beta-Version entdeckt und detaillierte Informationen schon im November 2002 an den Hersteller Opera Software weitergeleitet. Laut GreyMagic reagierte der Hersteller bislang jedoch nicht mit Patches auf die Fehlerberichte.

"Cross-Domain-Security-Modell"

Wie der deutsche Nachrichtendienst Golem berichtet, verwendet Opera 7 im Gegensatz zu anderen gängigen Browsern nicht das als sicher geltende "Cross-Domain-Security-Modell", um so bei JavaScript-Aufrufen den unberechtigten Zugriff auf andere Dokumente über Domain-Grenzen hinweg zu verhindern. Das in Opera 7 verwendete Modell weist laut Greymagic drei empfindliche Sicherheitslecks auf. Diese ermöglichen es Angreifern Zugriff auf Dateien zu erlangen. Da noch kein Patch erhältlich ist, empfiehlt GreyMagic das Deaktivieren von JavaScript im Opera 7-Browser.

Weitere kritische Probleme

GreyMagic berichtet allerdings noch von weiteren Sicherheitslöchern. Eines soll in der JavaScript-Konsole von Opera 7 stecken, kann aber manuell umgangen werden. Ein anderes Sicherheitsproblem findet sich beim Laden von Bildern und andere Multimedia-Daten. Angreifer sollen hierbei über lokale URLs auf lokale Dateien, Verzeichnisse und E-Mails aus dem Opera-Mail-Client zugreifen.

Unsicher, aber nicht gefährlich

Zu guter Letzt berichtet GreyMagic noch über zwei weitere Lücken, die allerdings als nicht kritisch eingestuft werden. Die Probleme bestehen in Zusammenhang mit der History-Funktion des Browsers. Auch hier empfiehlt GreyMagic als einfachste Sicherheitslösung die Deaktivierung von JavaScript.(red)

Share if you care.