Opera: Sicherheitspolitik im Schussfeld der Kritik

3. April 2007, 14:55
4 Postings

Kritische Sicherheitslücke war heimlich beseitigt worden - Lücke könnte Einstiegstor für eigene Anwendungen auf dem Nintendo Wii sein

Wie sich nun herausgestellt hat, hat der Browser-Hersteller Opera mit der vor einigen Wochen veröffentlichten Version 9.1 seiner Software auch eine kritische Sicherheitslücke geschlossen. Ältere Versionen des Browsers beinhalten einen Fehler, der zum Einschmuggeln von Code ausgenutzt werden kann.

Bug

Wie das Unternehmen in einem Security Advisory mitteilt liegt das Problem in der Verarbeitung von JPEG-Dateien. Mittels speziell präparierter Files lässt sich ein Heap Overflow erzeugen, in dessen Folge der Browser abstürzt und Schadsoftware auf dem Rechner platziert werden kann.

Kritik

Für die Art der Veröffentlichung des Bugs muss sich Opera nun einige Kritik von Sicherheitsexperten anhören. So bemängelt etwa heise security, dass der Hersteller den Fehler in seinem Advisory gerade mal mit der Stufe "moderat gefährlich" versehen hat. Offenbar reiche es nicht aus, dass sich die BenuterInnen alleine durch das Ansurfen einer präparierten Webseite Spyware einfangen könnten, so die zynische Zusammenfassung der Sicherheitsseite. Der Sicherheitsdienstleiter Secunia stimmt dieser Einschätzung offenbar zu, dort bezeichnet man das Problem als "hoch kritisch".

Abwarten

Ein weiterer Kritikpunkt ist der Zeitpunkt der Bekanntmachung der Sicherheitslücke: Im offiziellen Changelog der Version 9.10 war von dem Problem noch nichts zu lesen. Auf diese Weise würde man die Sicherheit der eigenen BenutzerInnen gefährden, da diese nicht über die Dringlichkeit des Updates informiert sind, so die Argumentation.

Update

Opera-BenutzerInnen, die bisher mit der Aktualisierung auf die aktuellste Version des Browsers gewartet haben, sollten diese nun jedenfalls baldigst nachholen. Freilich nur auf den Plattformen auf denen dies möglich ist: Denn unterdessen mehren sich die Berichte, dass auch die Opera-Version Nintendos neue Spielekonsole Wii für das Problem anfällig ist.

Homebrew

In diesem speziellen Fall könnte dies aber auch interessante Nebenwirkungen haben: Über ähnliche Sicherheitslücken ist es in der Vergangenheit schon mehrmals gelungen, eigene Programme auf diverse Spielkonsolen zu bringen - etwas dass die Hersteller meist zu verhindern versuchen. (red)

  • Bild nicht mehr verfügbar
Share if you care.