Foros Comunidad

Foros Comunidad (http://foros.wilkinsonpc.com.co/)
-   Noticias de Seguridad Informatica (http://foros.wilkinsonpc.com.co/noticias-de-seguridad-informatica-21/)
-   -   Vulnerabilidad XSS en Opera 8.0 y anteriores (http://foros.wilkinsonpc.com.co/noticias-de-seguridad-informatica-21/vulnerabilidad-xss-en-opera-8-0-y-anteriores-3198.html)

W-Bot 17-Jun-2005 17:15

Vulnerabilidad XSS en Opera 8.0 y anteriores
 
Una vulnerabilidad del tipo XSS (Cross-Site-Scripting), ha sido reportada en el navegador Opera, plataformas Windows y Linux.

El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (cross-site scripting). Esto es válido para cualquier sitio web o para un archivo local.

La vulnerabilidad se produce por un insuficiente filtrado de los privilegios de la entrada "javascript:" cuando un visitante es redirigido a otra página o sitio.

Cuando un usuario visita un sitio que redirecciona al usuario a otra página, un script malicioso puede ser interpretado por Opera en el contexto de seguridad del sitio malintencionado.

La explotación de esta vulnerabilidad puede permitir a un atacante robar las credenciales de autenticación basadas en cookies de determinados sitios. También son posibles otras clases de ataques.

Los reportes indican que esta vulnerabilidad había sido solucionada en una versión anterior (7.0.2) y fue reintroducida en la versión 8.0 de Opera.


Software vulnerable:

- Opera Software Opera Web Browser 8.0
- Opera Software Opera Web Browser 7.0 win32
- Opera Software Opera Web Browser 7.0.1 win32
- Opera Software Opera Web Browser 6.10 linux
- Opera Software Opera Web Browser 6.0.5 win32
- Opera Software Opera Web Browser 6.0.4 win32
- Opera Software Opera Web Browser 6.0.3 win32
- Opera Software Opera Web Browser 6.0.3 linux
- Opera Software Opera Web Browser 6.0.2 win32
- Opera Software Opera Web Browser 6.0.2 linux
- Opera Software Opera Web Browser 6.0.1 win32
- Opera Software Opera Web Browser 6.0.1 linux
- Opera Software Opera Web Browser 6.0.1
- Opera Software Opera Web Browser 6.0 win32
- Opera Software Opera Web Browser 6.0


Software NO vulnerable:

- Opera Software Opera Web Browser 8.0.1
- Opera Software Opera Web Browser 7.0.2 win32


Solución

Actualizarse a la versión más reciente no vulnerable.

La versión 8.0.1 está disponible en el siguiente enlace:

http://www.opera.com/download/


Referencias:

- Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):

CAN-2005-1669
http://www.cve.mitre.org/cgi-bin/cve...=CAN-2005-1669

- Referencia en Secunia: SA15411
http://secunia.com/advisories/15411/

- Identificado en BugTraq como ID 13969

http://www.securityfocus.com/bid/13969


Referencias anteriores:

- Identificado en BugTraq como ID 6962

http://www.securityfocus.com/bid/6962


Relacionados:

Changelog for Opera 8.01 for Windows (Opera Software)
http://www.opera.com/windows/changelogs/801/#security

Opera "javascript:" URL Cross-Site Scripting Vulnerability
http://secunia.com/advisories/15411/

Secunia Research: Opera browser Cross Site Scripting
http://www.securityfocus.com/archive/1/313216


Créditos:

Jakob Balle, Secunia Research.

Fuente: VSANTIVIRUS


La franja horaria es GMT -5. Ahora son las 02:02.

2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4