Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Beveiligingslekken in Opera-browser ontdekt

Beveiligingslekken in Opera-browser ontdekt

Door Steve Lersberghe, woensdag 26 november 2003 15:44
Bron: Heise, submitter: T.T., views: 947

Opera logo (klein)Onze oosterburen van Heise melden dat er een aantal beveiligingslekken in de browser Opera ontdekt zijn. Gebruikers kunnen onder andere gevaar oplopen bij het gebruiken van een skin voor de browser. Een automatisch installatieprogramma dat deel uitmaakt van Opera downloadt de skins van een webserver. De bestandsnaam van de skin wordt echter niet voldoende gecontroleerd, wat kwaadwilligen de mogelijkheid geeft de computer van het slachtoffer te infecteren. Tweakers die Opera 7.22 of een eerdere versie gebruiken wordt aangeraden om over te stappen naar de nieuwste 7.23-versie van het programma, waarin de lekken gedicht zijn.

Volgende 17:42 Verkoopcijfers consoles nemen af
Vorige 12:27 Archos levert cameramodule voor AV300-serie
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 36 reacties zichtbaar360 Off-topic / Irrelevant: 31 reacties zichtbaar31+1 On-topic: 20 reacties zichtbaar20+2 Informatief: 7 reacties zichtbaar7+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door FragNeck, woensdag 26 november 2003 15:46

Score: 0
Legt der Angreifer beispielsweise eine ausführbare EXE-Datei in einem Autostart-Ordner ab, könnte er darüber den Rechner seines Opfers ohne dessen Zutun mit einem trojanischen Pferd infizieren.


Ai! da's niet niks!

Wel goed trouwens dat ze het snel opgelost hebben met een update.

Is er trouwens een manier om bij iemand de versie te controleren, zonder dat hij/zij het weet?

Door Johnny, woensdag 26 november 2003 15:49

Score: 1
Is er trouwens een manier om bij iemand de versie te controleren, zonder dat hij/zij het weet?
Ja, dat staat meestal in de user agent info, maar in Opera kun je deze ook weer zelf instellen...

Door tharkun, woensdag 26 november 2003 15:51

Score: 1
ja. help -> en dan about opera

Door FragNeck, woensdag 26 november 2003 15:54

Score: 0
Ik bedoelde dus op een remote PC.

Thx Johnny5.

Door MAZZA, woensdag 26 november 2003 16:00

Score: 0
Ja ook dat kan. En vrij simpel ook nog.

Door twiFight, woensdag 26 november 2003 16:45

Score: 2
Hoezo snel opgelost hebben met een update?
Deze lek zit in alle vorige versies (met skins iig) en nu pas is er een oplossing voor.

Ik wil niet weten hoeveel gezeik hier gestaan had als Opera vervangen was door Internet Explorer

Door gp500, woensdag 26 november 2003 16:58

Score: 1
is net ontdekt dus wel snel weer gemaakt.

Door packman, woensdag 26 november 2003 18:19

Score: 0
een +3 interessant? Wat is dat voor onzin. De bug was amper bekend voor de patch er al was. Trouwens eender welke securitybug die in een stuk software zit en gevonden wordt zit er waarschijnlijk ook al lang in in vorige versies.

De bug hier is gepublisht op securityfocus op 12/11/2003 - en de update was er 10 dagen later, op 22/11 was er reeds een patch.

Je stelling slaat dus niet op veel... En je opmerking over IE lokt enkel maar reacties uit die je net probeert tegen te gaan...

EDIT: Blijkbaar was de bug met skins pas gevonden op 21/11/2003 en gerapporteerd op 22/11/2003 - de dag waarop opera ook een bugfix heeft uitgebracht (op een zaterdag by the way..). Dit is het bericht waar het gerapporteerd wordt. De bug die op 12/11 was gerapporteerd was de mogelijkheid tot het misbruiken van de "opera:" url handler, welke bij die skins-exploit dus tot het grote gevaar leidt (welke er dus ook uit is nu)

Door Anton, woensdag 26 november 2003 15:51

Score: 2
Een automatisch installatieprogramma dat deel uitmaakt van Opera downloadt de skins, bestanden van het MIME-type, van een webserver.
Qua Nederlands een goeie zin, maar technisch gesproken raakt ie kant noch wal. Een bestand op een webserver heeft een MIME-type, maar welke dat is, dat heeft ongetwijfeld te maken met het bedoelde veiligheidslek. Alleen blijkt dat niet uit het nieuwsbericht.

Door Lekkere Kwal, woensdag 26 november 2003 16:02

Score: 1
Dat staat er wel gewoon hoor in, in de Genitiv die zowel jij als de nieuwsposter blijkbaar niet kennen.

"eine Datei mit dem MIME-Typ einer Opera-Skin"
betekent
"een bestand met het MIME-type van een Opera-Skin"

eine Datei is onderwerp (nominativ)
dem MIME-TYP is lijdend voorwerp (maar mit = dativ dus meewerkend)
einer Opera-Skin is bezittelijk voorwerp (einer = genitiv)

Door Melkie, woensdag 26 november 2003 16:52

Score: 0
'dem' is 3e naamval en dus altijd meewerkend voorwerp hoor

Door Lekkere Kwal, woensdag 26 november 2003 17:58

Score: 0
Nee, het is 'dem' doordat er 'mit' voor staat. Het hoort namelijk accusativ te zijn, maar 'mit' zit in het rijtje voorzetsels waarna een dativ wordt gebruikt. Stond er geen mit voor, dan was het gewoon 'den'.

Door mabit, woensdag 26 november 2003 15:52

Score: 1
Misschien dat mensen inzien, dat niet alleen Ms foutjes maakt maar andere producenten ook.

Door blouweKip, woensdag 26 november 2003 16:21

Score: 2
Wie dat ontkent is idd blind, gaat erom hoe erg ze zijn en hoe snel ze worden opgelost (deze is toch flink erg als je een malafide skin installeert in windows)

Door Gotty837, woensdag 26 november 2003 17:55

Score: 1
Bij opera worden de fouten direct verholpen.

Microsoft laat de beveiligingslekken er rustig in zitten:
14 (17?) gaten zitten er in internet explorer!

Overigens is er alleen sprake van een beveiligingslek in opera onder windows. Onder Linux is er niets aan de hand omdat er dan nog niets mee gedaan kan worden.

Door dj.verhulst, woensdag 26 november 2003 15:53

Score: 0
Het moest een keer gebeuren , iedereen trap M$ de grond in als er weer een lek gevonden is, terwijl het bekend is dat omdat M$ het grootste deel van de markt heeft er ook de meeste kans dat men fouten vind.
Nu Opera aan de beurt , Linux had recent ook een lek(je) is allemaal opgelost

Door Beaves, woensdag 26 november 2003 16:40

Score: 2
dat MS het grooste deel van de markt heeft maakt het bovendien niet autmatisch dat men daarin de meeste fouten vind, de source is immers niet open.

Net alsof het al dan niet open zijn van de source een indicatie is van het aantal gevonden lekken/bugs in software. Het feit dat software open is wil niet zeggen dat er makkelijker fouten in gevonden worden. De meeste bugs en lekken hebben als oorzaak een complex samenspel van omstandigheden en werking van bepaalde delen van programma's.

Dan kan je wel interessant in de code gaan zitten kijken, de kans dat je een bug/lek ontdekt is erg klein, voordat je in de gaten hebt hoe de source met elkaar werkt en wat ze van elkaar lenen ben je erg veel tijd kwijt.

Feit is gewoon dat veel mensen MS software gebruiken wat weerr op allemaal diverse soorten machines draait en die weer in veel verschillende soorten omstandigheden hun werk doen. Neem daarbij het feit dat er veel naar bugs wordt gespoord en het is niet vreemd dat er bij MS software relatief veel bugs gevonden worden.
De focus van microsoft is nu eenmaal nog steeds niet echt op veiligheid (hoeveel PR ze de wereld insturen dat het wel zo is)
De huidige MS software is inderdaad gemaakt met in het achterhoofd gebruiksvriendelijkheid en dus niet veiligheid. De echte verbetering zullen dus pas in Longhorn te zien zijn.

Door T-MOB, donderdag 27 november 2003 01:45

Score: 0
Als we van Iexplore de [b]source{/b} zouden mogen zien vonden we natuurlijk veel meer fouten....

Door ]eep, donderdag 27 november 2003 02:20

Score: 0
Dat slaat nergens op: marktaandeel heeft er niks mee te maken.

A. Als de sourcecode niet ingezien kan worden moet je dus toevallig tegen de fout/lek aanlopen. Die kans is dus astronomisch klein. Als je de code uit kunt pluizen kom je veel eerder dingen tegen.

B. Hoe uitgebreider de code/ het programma is hoe groter de kans op fouten. En aangezien Opera een combinatie is van IE, Messenger en Outlook express moet je dus die wel bij elkaar trekken voordat je vergelijkt.

C. Hoe slordiger geschreven hoe meer fouten. En dan ligt het er ook maar aan waar je op let als je een programa schrijft: wat is je focus? Gebruiksvriendelijkheid of security. Of zie je security als 1e vereiste (vanzelfsprekend). Is het een gratis toevoeging of een compleet programma waar geld mee verdient moet worden?

Door Lekkere Kwal, woensdag 26 november 2003 16:01

Score: 0
Sorry, op de verkeerde replied

Door RupS, woensdag 26 november 2003 16:01

Score: 1
Dat vind ik nu een beetje een vreemde opmerking :)

Als er een exploit/lek ontdekt wordt, dan wordt dat toch altijd gemeld? Juist voor mensen die (nog) niet hebben geupgrade omdat ze het de moeite niet vonden...

Door Luxx, woensdag 26 november 2003 16:20

Score: 1
maar in de changelog van de laatste versie stond (Een deel van) dezel lekken al genoemd (nouja, ze legden meer de nadruk op de fixes natuurlijk). Kortom, dat die lekken er zaten was ook al langer duidelijk. Natuurlijk kan het geen kwaad om nog een keer te benadrukken dat updaten heel belangrijk is.

Door Dribbeltje, woensdag 26 november 2003 16:02

Score: 1
Toch wel handig om te melden.

Niet iedereen houdt zijn software up to date. En door dit bericht zal dit sneller gebeuren.

Door Roeligan450, woensdag 26 november 2003 16:11

Score: 2
stond gister ook al op webwereld

Valt me op dat nieuws daar steeds vaker eerder vermeld wordt dan hier...

Nieuwe lekken in IE ontdekt zien we morgen of overmorgen hier weer verschijnen... ;)

Door Dextro, woensdag 26 november 2003 16:46

Score: 0
Je hebt volkomen gelijk. Het nieuws wordt hier zelfs enorm traag gepost de laatste tijd. Opera 7.23 staat in de meuktracker sinds zondag 23 november 2003 - 09:51. Ik veronderstel dat op hetzelfde moment reeds in de newssubmit dit nieuwsbericht gepost is geweest. En pas 3 dagen erna op tweakers.net? :?

Door MossMan, woensdag 26 november 2003 21:48

Score: 1
Nou, voor de Opera gebruikers stond het er nog eerder op de Opera newsgroups en Opera home-page (officieel dus). Leuk dat de maker er zelf mee komt (met link naar verbeterde versie).

Dat vind ik nou goed van ze - ze doen meteen hun best om problemen op te lossen en dit door te geven aan hun gebruikers.

Door Adam Abdullah, woensdag 26 november 2003 16:45

Score: 2
Uiteraard is geen enkel stuk software zonder fouten/lekken: oorzaak het menselijk falen.

Daarbij iets totaal dichtimmeren is onmogelijk, dit soort zaken blijven dus gewoon orde van de dag.

Door Takezo, woensdag 26 november 2003 16:46

Score: 2
Dit stond zelfs zondag al op Tweakers bij de meuktracker: http://www.tweakers.net/meuktracker/5083
Het versienummer is aangekomen bij 7.23 en bevat een aantal verbeteringen met betrekking tot de veiligheid wanneer er gebruik wordt gemaakt van zo genaamde skins.
Drie dagen later nog eens een nieuwsbericht over deze beveiligingsfout plaatsen lijkt me dan wat overbodig.

[EDIT] Bedoelt als reactie op Roeligan

[EDIT 2] @Dextro: precies hetzelfde op precies hetzelfde moment :D

Door Roma33, woensdag 26 november 2003 17:12

Score: 1
Als ik nu geen skins download via die auto. installatieproggie of helemaal geen skins gebruik, loop ik dan nog steeds gevaar voor ongewenste bezoeken ?

Door packman, woensdag 26 november 2003 18:36

Score: 1
Ja - het is het stukje van opera dat het mimetype van de file behandelde dat de fout bevat(te). Als een "kwaadaardige" server dus zegt dat hij een file met het mimetype "skin" stuurt, en zet daarin een .exe bestand, kon hij met de urlhandler bug (dat je met in je url-balk "opera:" programma's kan uitvoeren op de disk) perfect iemand infecteren zonder hij het weet.

Wat je wel kan doen bij pre-7.23 versies is gewoon de mime-types voor die skins wegsmijten (zie hier bij 4. WORKAROUND)

Voor het installeren van "originele" skins vanop de Opera server denk ik niet dat je schrik moet hebben...
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:42 Verkoopcijfers consoles nemen af
Vorige 12:27 Archos levert cameramodule voor AV300-serie
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011