[Generic/Opera] Cross-Site Scripting Schwachstelle im Webbrowser Opera
(2001-11-21 14:59:12+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00115.htmlDurch Schwachstellen im Opera Webbrowser können arglistige Webseiten auf Cookies und Links anderer Webseiten zugreifen.
Betroffene Systeme
- Opera 5.12/Windows
- Opera 5.0/Linux
- Opera 6.0 beta 1/Windows
- möglicherweise weitere Versionen des Opera Webbrowsers
Einfallstor
arglistige Webseite
Auswirkung
Mittels einer arglistigen Webseite können Cookies und Links von fremden Domains, auf die der Anwender Zugriff hat, ausgelesen werden.
Cookies können vertrauliche Daten (z.B Passwörter) beinhalten!
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
mittel bis hoch (da sensitive Informationen ausgelesen werden können)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Der Webbrowser Opera hat die sogenannte Same Origin-Verfahrensweise nicht implementiert, wodurch Cross-Site Scripting Schwachstellen vorhanden sind. So ist es mittels JavaScript innerhalb einer Webseite möglich, auf andere Domains zuzugreifen um von dort Cookies und Links, auf die der Anwender Zugriff hat, auszulesen. Dadurch könnte eine Webseite die Cookie-basierenden Authentifizierungsnachweisse einer anderen Webseite erhalten.
Des weiteren ist es möglich die Links im Cache und in der History des Anwenders auszulesen.
Gegenmaßnahmen
Ein Patch vom Hersteller liegt bislang nicht vor.
Workaround
- Deaktivieren Sie JavaScript
- Alternativ empfiehlt der Hersteller Opera die Funktion "Use cookies to trace password protected documents" zu aktivieren.
Vulnerability ID
liegt bislang nicht vor
Weitere Information zu diesem Thema
- Georgi Guninski security advisory #51 Several javascript vulnerabilities in Opera
- Bugtraq
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=573