You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1486

[Generic/Opera] Schwachstellen in Opera vor 9.62
(2008-10-30 18:23:33.278138+00) Druckversion

Quelle: http://www.securityfocus.com/bid/31991/discuss

Zwei Schwachstellen im Webbrowser Opera der Versionen vor 9.62 können von einem Angreifer dazu ausgenutzt werden, beliebigen Scriptcode auf dem beherbergenden System auszuführen.

Inhalt

Betroffene Systeme

  • CVE-2008-4794:
    Versionen vor Opera 6.92
  • CVE-2008-4795:
    Versionen vor Opera 6.92

Nicht betroffene Systeme

  • CVE-2008-4794:
    Opera 6.92
  • CVE-2008-4795:
    Opera 6.92

Einfallstor

  • CVE-2008-4794:
    Speziell präparierter URI auf die Opera History Search
  • CVE-2008-4795:
    Speziell präparierter URL bzw. Webseite

Angriffsvoraussetzung

  • CVE-2008-4794:
    Benutzerinteraktion -- ein Benutzer eines betroffenen Systems muss im Opera-Browser einen entsprechenden URI öffnen. Dieser kann z.B. über eine E-Mail-Nachricht oder eine Webseite auf das betroffene System gelangen.
    (user interaction)
  • CVE-2008-4795:
    Benutzerinteraktion -- ein Benutzer eines betroffenen Systems muss im Opera-Browser eine Webseite öffnen, die einen entsprechenden URL enthält.
    (user interaction)

Angriffsvektorklasse

  • CVE-2008-4794:
    über eine Netzwerkverbindung (sofern der URI dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
    (remote)
  • CVE-2008-4795:
    über eine Netzwerkverbindung (sofern der Benutzer eines betroffenen Systems eine entsprechende Seite öffnet)
    (remote)

Auswirkung

  • CVE-2008-4794:
    Ausführung beliebigen Scriptcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Opera-Prozesses
    (user compromise)
  • CVE-2008-4795:
    Ausführung beliebigen Scriptcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Opera-Prozesses
    (user compromise)

Typ der Verwundbarkeit

Gefahrenpotential

  • CVE-2008-4794:
    hoch
  • CVE-2008-4795:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2008-4794:
    Eine Schwachstelle in der Überprüfung der Eingabedaten der Opera History Search Funktion kann von einem Angreifer mittels eines speziell präparierten Uniform Resource Identiers (URI) dazu ausgenutzt werden, beliebigen Script-Code in die Ergebnisseite der Funktion einzuschleusen, der in der Folge mit den Privilegien des Opera-Prozesses auf dem beherbergenden Rechnersystem ausgeführt wird. Zur erfolgreichen Ausnutzung dieser Schwachstelle ist es erforderlich, dass ein Benutzer eines betroffenen Systems einen entsprechenden URI öffnet, der ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet wird.

    Schwachstellen dieser Art werden in stark zunehmenden Maß automatisiert ausgenutzt, um Malware auf angegriffenen Systemen zu installieren.

  • CVE-2008-4795:
    Eine Schwachstelle im Opera Link Panel kann von einem Angreifer dazu ausgenutzt werden, beliebigen JavaScript-Code im Kontext einer anderen (ggf. als vertrauensvoll angesehenen) Webseite auszuführen. Das Link Panel zeigt alle Links einer Seite sowie aller darin enthaltenen Frames. Die Schwachstelle führt dazu, dass Links, die in einem Frame enthalten sind, im Kontext der umgebenden Seite und nicht des tatsächlich beinhaltenden Frames ausgeführt werden.

    Schwachstellen dieser Art werden in stark zunehmenden Maß automatisiert ausgenutzt, um Malware auf angegriffenen Systemen zu installieren.

Gegenmaßnahmen

  • CVE-2008-4794:
    Installation oder Upgrade auf Opera 9.62
  • CVE-2008-4795:
    Installation oder Upgrade auf Opera 9.62

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.