Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-825

[MS/Opera] Arglistige Webseiten können Dateien von Opera-Benutzern auslesen
(2002-05-28 10:18:09.76308+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/05/msg00244.html

Durch eine Schwachstelle in Opera 6.01/6.02 können arglistige Webseiten beliebige Dateien von Opera-Benutzern auslesen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Arglistige Webseite

Auswirkung
Arglistige Webseiten können beliebige Dateien von dem System des Opera-Benutzers auslesen. Diese Dateien können möglicherweise sensitive Daten (z.B. Passwörter) beinhalten.

Typ der Verwundbarkeit
input validation vulnerability

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch eine Schwachstelle in Opera 6.01/6.02 können arglistige Webseiten beliebige Dateien auf dem System des Opera-Benutzers mit dessen Privilegien auslesen. An das Datei-Element "value" hinzugefügtes &#10 (ASCII-Code für Newline) wird falsch interpretiert und dadurch die normalerweise bei <input type="file"> auftretende Dialogbox umgangen. Somit ist es arglistigen Webseiten z.B. über
<input type="file" name="expFile" value="c:\test.txt&#10;" style="visibility:hidden">
möglich, die lokale Datei "c:\test.txt" an den Weberver zu übermitteln. Sollte JavaScript aktiviert sein, kann dies ohne Aktion des Benutzers erfolgen. Bei deaktiviertem JavaScript in von dem Opera-Benutzer eine Aktion erforderlich (z.B. bei einem arglistigen Formular der Klick auf den "Submit"-Button).

Gegenmaßnahmen
Update auf Opera 6.03

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=825