Opera Web浏览器10之前版本包含多个安全漏洞

漏洞起因
设计错误
 
影响系统
Opera Software Opera Web Browser 9.64
Opera Software Opera Web Browser 9.63
Opera Software Opera Web Browser 9.62
Opera Software Opera Web Browser 9.61
Opera Software Opera Web Browser 9.60 beta 1
Opera Software Opera Web Browser 9.60
Opera Software Opera Web Browser 9.52
Opera Software Opera Web Browser 9.51
Opera Software Opera Web Browser 9.50 beta
Opera Software Opera Web Browser 9.5
Opera Software Opera Web Browser 9.27
Opera Software Opera Web Browser 9.26
Opera Software Opera Web Browser 9.25
Opera Software Opera Web Browser 9.24
Opera Software Opera Web Browser 9.23
Opera Software Opera Web Browser 9.22
Opera Software Opera Web Browser 9.21
Opera Software Opera Web Browser 9.20 beta1
Opera Software Opera Web Browser 9.20
Opera Software Opera Web Browser 9.10
Opera Software Opera Web Browser 9.02
Opera Software Opera Web Browser 9.01
Opera Software Opera Web Browser 9
 
不受影响系统
Opera Software Opera Web Browser 10
 
危害
远程攻击者可以利用漏洞进行伪造和中间人攻击,可获得敏感信息或进行欺骗攻击。
 
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
 
漏洞信息
Opera Web Browser是一款开放源代码的WEB浏览器。
Opera存在多个安全问题,远程攻击者可以利用漏洞进行伪造和中间人攻击。
-地址栏在部分条件下存在错误可显示之前的域名代替当前域名。
-Opera浏览器允许证书中包含Null字符和非法通配符,此问题可导致攻击者伪造证书绕过部分安全检查。
-不正确处理部分unicode字符,可导致使用此类字符的国际域名以不正确的格式显示,可导致地址欺骗。
-站点如果调用中间证书,Opera处理存在问题可显示为安全站点。
 
测试方法
 
厂商解决方案
用户可联系供应商升级到Opera Web Browser 10版本:
http://www.opera.com/
 
漏洞提供者
Chris Weber of Casaba Security, Dan Kaminsky

发表评论?

0 条评论。

发表评论