Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-573

[Generic/Opera] Cross-Site Scripting Schwachstelle im Webbrowser Opera
(2001-11-21 14:59:12+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00115.html

Durch Schwachstellen im Opera Webbrowser können arglistige Webseiten auf Cookies und Links anderer Webseiten zugreifen.

Betroffene Systeme

  • Opera 5.12/Windows
  • Opera 5.0/Linux
  • Opera 6.0 beta 1/Windows
  • möglicherweise weitere Versionen des Opera Webbrowsers

Einfallstor
arglistige Webseite

Auswirkung
Mittels einer arglistigen Webseite können Cookies und Links von fremden Domains, auf die der Anwender Zugriff hat, ausgelesen werden.
Cookies können vertrauliche Daten (z.B Passwörter) beinhalten!

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch (da sensitive Informationen ausgelesen werden können)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Webbrowser Opera hat die sogenannte Same Origin-Verfahrensweise nicht implementiert, wodurch Cross-Site Scripting Schwachstellen vorhanden sind. So ist es mittels JavaScript innerhalb einer Webseite möglich, auf andere Domains zuzugreifen um von dort Cookies und Links, auf die der Anwender Zugriff hat, auszulesen. Dadurch könnte eine Webseite die Cookie-basierenden Authentifizierungsnachweisse einer anderen Webseite erhalten.
Des weiteren ist es möglich die Links im Cache und in der History des Anwenders auszulesen.

Gegenmaßnahmen
Ein Patch vom Hersteller liegt bislang nicht vor.

Workaround

  • Deaktivieren Sie JavaScript
  • Alternativ empfiehlt der Hersteller Opera die Funktion "Use cookies to trace password protected documents" zu aktivieren.

Vulnerability ID
liegt bislang nicht vor

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.