Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-825

[MS/Opera] Arglistige Webseiten können Dateien von Opera-Benutzern auslesen
(2002-05-28 10:18:09.76308+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/05/msg00244.html

Durch eine Schwachstelle in Opera 6.01/6.02 können arglistige Webseiten beliebige Dateien von Opera-Benutzern auslesen.

Betroffene Systeme

  • Opera 6.01 (auf Windows-Plattformen)
  • Opera 6.02 (auf Windows-Plattformen)

Nicht betroffene Systeme

  • Opera 6.03
  • Opera-Versionen vor 6.01 scheinen von dieser Schwachstelle nicht betroffen zu sein, weisen dafür aber andere Schwachstellen auf.

Einfallstor
Arglistige Webseite

Auswirkung
Arglistige Webseiten können beliebige Dateien von dem System des Opera-Benutzers auslesen. Diese Dateien können möglicherweise sensitive Daten (z.B. Passwörter) beinhalten.

Typ der Verwundbarkeit
input validation vulnerability

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch eine Schwachstelle in Opera 6.01/6.02 können arglistige Webseiten beliebige Dateien auf dem System des Opera-Benutzers mit dessen Privilegien auslesen. An das Datei-Element "value" hinzugefügtes &#10 (ASCII-Code für Newline) wird falsch interpretiert und dadurch die normalerweise bei <input type="file"> auftretende Dialogbox umgangen. Somit ist es arglistigen Webseiten z.B. über
<input type="file" name="expFile" value="c:\test.txt&#10;" style="visibility:hidden">
möglich, die lokale Datei "c:\test.txt" an den Weberver zu übermitteln. Sollte JavaScript aktiviert sein, kann dies ohne Aktion des Benutzers erfolgen. Bei deaktiviertem JavaScript in von dem Opera-Benutzer eine Aktion erforderlich (z.B. bei einem arglistigen Formular der Klick auf den "Submit"-Button).

Gegenmaßnahmen
Update auf Opera 6.03

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.