Onze oosterburen van Heise melden dat er een aantal beveiligingslekken in de browser Opera ontdekt zijn. Gebruikers kunnen onder andere gevaar oplopen bij het gebruiken van een skin voor de browser. Een automatisch installatieprogramma dat deel uitmaakt van Opera downloadt de skins van een webserver. De bestandsnaam van de skin wordt echter niet voldoende gecontroleerd, wat kwaadwilligen de mogelijkheid geeft de computer van het slachtoffer te infecteren. Tweakers die Opera 7.22 of een eerdere versie gebruiken wordt aangeraden om over te stappen naar de nieuwste 7.23-versie van het programma, waarin de lekken gedicht zijn.
Beveiligingslekken in Opera-browser ontdekt
Lees meer
/i/1318419301.png?f=fpa)
Zero day-exploit voor Opera gepubliceerd - update
Nieuws van 18 oktober 2011
Nieuwe kwetsbaarheden ontdekt in internetbrowsers
Nieuws van 22 oktober 2004
Opera publiceert kwartaalcijfers en plant beursgang
Nieuws van 9 februari 2004
Oudere versies van Internet Explorer raken uit de gratie
Nieuws van 20 januari 2004
Opnieuw veiligheidsgaten in Internet Explorer ontdekt
Nieuws van 27 november 2003
Veiligheidsproblemen ontdekt in Mozilla en Opera
Nieuws van 9 juni 2003
Nieuwste Opera bevat veiligheidsfouten
Nieuws van 5 februari 2003
Reacties (36)
:strip_icc():strip_exif()/u/31/netapp.jpg?f=community){kind=small}
Qua Nederlands een goeie zin, maar technisch gesproken raakt ie kant noch wal. Een bestand op een webserver heeft een MIME-type, maar welke dat is, dat heeft ongetwijfeld te maken met het bedoelde veiligheidslek. Alleen blijkt dat niet uit het nieuwsbericht.Een automatisch installatieprogramma dat deel uitmaakt van Opera downloadt de skins, bestanden van het MIME-type, van een webserver.
/u/34556/welles60x60.PNG?f=community){kind=small}
Dat staat er wel gewoon hoor in, in de Genitiv die zowel jij als de nieuwsposter blijkbaar niet kennen.
"eine Datei mit dem MIME-Typ einer Opera-Skin"
betekent
"een bestand met het MIME-type van een Opera-Skin"
eine Datei is onderwerp (nominativ)
dem MIME-TYP is lijdend voorwerp (maar mit = dativ dus meewerkend)
einer Opera-Skin is bezittelijk voorwerp (einer = genitiv)
"eine Datei mit dem MIME-Typ einer Opera-Skin"
betekent
"een bestand met het MIME-type van een Opera-Skin"
eine Datei is onderwerp (nominativ)
dem MIME-TYP is lijdend voorwerp (maar mit = dativ dus meewerkend)
einer Opera-Skin is bezittelijk voorwerp (einer = genitiv)
:strip_icc():strip_exif()/u/4505/crop5ea002ff89e6d_cropped.jpeg?f=community){kind=small}
'dem' is 3e naamval en dus altijd meewerkend voorwerp hoor
Nee, het is 'dem' doordat er 'mit' voor staat. Het hoort namelijk accusativ te zijn, maar 'mit' zit in het rijtje voorzetsels waarna een dativ wordt gebruikt. Stond er geen mit voor, dan was het gewoon 'den'.
stond gister ook al op webwereld
Valt me op dat nieuws daar steeds vaker eerder vermeld wordt dan hier...
Nieuwe lekken in IE ontdekt zien we morgen of overmorgen hier weer verschijnen...
Valt me op dat nieuws daar steeds vaker eerder vermeld wordt dan hier...
Nieuwe lekken in IE ontdekt zien we morgen of overmorgen hier weer verschijnen...
Nou, voor de Opera gebruikers stond het er nog eerder op de Opera newsgroups en Opera home-page (officieel dus). Leuk dat de maker er zelf mee komt (met link naar verbeterde versie).
Dat vind ik nou goed van ze - ze doen meteen hun best om problemen op te lossen en dit door te geven aan hun gebruikers.
Dat vind ik nou goed van ze - ze doen meteen hun best om problemen op te lossen en dit door te geven aan hun gebruikers.
:strip_icc():strip_exif()/u/52964/face60.jpg?f=community){kind=small}
Je hebt volkomen gelijk. Het nieuws wordt hier zelfs enorm traag gepost de laatste tijd. Opera 7.23 staat in de meuktracker sinds zondag 23 november 2003 - 09:51. Ik veronderstel dat op hetzelfde moment reeds in de newssubmit dit nieuwsbericht gepost is geweest. En pas 3 dagen erna op tweakers.net? 
Uiteraard is geen enkel stuk software zonder fouten/lekken: oorzaak het menselijk falen.
Daarbij iets totaal dichtimmeren is onmogelijk, dit soort zaken blijven dus gewoon orde van de dag.
Daarbij iets totaal dichtimmeren is onmogelijk, dit soort zaken blijven dus gewoon orde van de dag.
Dit stond zelfs zondag al op Tweakers bij de meuktracker: http://www.tweakers.net/meuktracker/5083
[EDIT] Bedoelt als reactie op Roeligan
[EDIT 2] @Dextro: precies hetzelfde op precies hetzelfde moment
Drie dagen later nog eens een nieuwsbericht over deze beveiligingsfout plaatsen lijkt me dan wat overbodig.Het versienummer is aangekomen bij 7.23 en bevat een aantal verbeteringen met betrekking tot de veiligheid wanneer er gebruik wordt gemaakt van zo genaamde skins.
[EDIT] Bedoelt als reactie op Roeligan
[EDIT 2] @Dextro: precies hetzelfde op precies hetzelfde moment
Misschien dat mensen inzien, dat niet alleen Ms foutjes maakt maar andere producenten ook.
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community){kind=small}
Wie dat ontkent is idd blind, gaat erom hoe erg ze zijn en hoe snel ze worden opgelost (deze is toch flink erg als je een malafide skin installeert in windows)
Bij opera worden de fouten direct verholpen.
Microsoft laat de beveiligingslekken er rustig in zitten:
14 (17?) gaten zitten er in internet explorer!
Overigens is er alleen sprake van een beveiligingslek in opera onder windows. Onder Linux is er niets aan de hand omdat er dan nog niets mee gedaan kan worden.
Microsoft laat de beveiligingslekken er rustig in zitten:
14 (17?) gaten zitten er in internet explorer!
Overigens is er alleen sprake van een beveiligingslek in opera onder windows. Onder Linux is er niets aan de hand omdat er dan nog niets mee gedaan kan worden.
:strip_exif()/u/10335/1.gif?f=community){kind=small}
Ai! da's niet niks!Legt der Angreifer beispielsweise eine ausführbare EXE-Datei in einem Autostart-Ordner ab, könnte er darüber den Rechner seines Opfers ohne dessen Zutun mit einem trojanischen Pferd infizieren.
Wel goed trouwens dat ze het snel opgelost hebben met een update.
Is er trouwens een manier om bij iemand de versie te controleren, zonder dat hij/zij het weet?
:strip_icc():strip_exif()/u/46721/wolf-av.jpg?f=community){kind=small}
Hoezo snel opgelost hebben met een update?
Deze lek zit in alle vorige versies (met skins iig) en nu pas is er een oplossing voor.
Ik wil niet weten hoeveel gezeik hier gestaan had als Opera vervangen was door Internet Explorer
Deze lek zit in alle vorige versies (met skins iig) en nu pas is er een oplossing voor.
Ik wil niet weten hoeveel gezeik hier gestaan had als Opera vervangen was door Internet Explorer
is net ontdekt dus wel snel weer gemaakt.
een +3 interessant? Wat is dat voor onzin. De bug was amper bekend voor de patch er al was. Trouwens eender welke securitybug die in een stuk software zit en gevonden wordt zit er waarschijnlijk ook al lang in in vorige versies.
De bug hier is gepublisht op securityfocus op 12/11/2003 - en de update was er 10 dagen later, op 22/11 was er reeds een patch.
Je stelling slaat dus niet op veel... En je opmerking over IE lokt enkel maar reacties uit die je net probeert tegen te gaan...
EDIT: Blijkbaar was de bug met skins pas gevonden op 21/11/2003 en gerapporteerd op 22/11/2003 - de dag waarop opera ook een bugfix heeft uitgebracht (op een zaterdag by the way..). Dit is het bericht waar het gerapporteerd wordt. De bug die op 12/11 was gerapporteerd was de mogelijkheid tot het misbruiken van de "opera:" url handler, welke bij die skins-exploit dus tot het grote gevaar leidt (welke er dus ook uit is nu)
De bug hier is gepublisht op securityfocus op 12/11/2003 - en de update was er 10 dagen later, op 22/11 was er reeds een patch.
Je stelling slaat dus niet op veel... En je opmerking over IE lokt enkel maar reacties uit die je net probeert tegen te gaan...
EDIT: Blijkbaar was de bug met skins pas gevonden op 21/11/2003 en gerapporteerd op 22/11/2003 - de dag waarop opera ook een bugfix heeft uitgebracht (op een zaterdag by the way..). Dit is het bericht waar het gerapporteerd wordt. De bug die op 12/11 was gerapporteerd was de mogelijkheid tot het misbruiken van de "opera:" url handler, welke bij die skins-exploit dus tot het grote gevaar leidt (welke er dus ook uit is nu)
/u/44276/got_icon5.png?f=community){kind=small}
Ja, dat staat meestal in de user agent info, maar in Opera kun je deze ook weer zelf instellen...Is er trouwens een manier om bij iemand de versie te controleren, zonder dat hij/zij het weet?
ja. help -> en dan about opera
Ik bedoelde dus op een remote PC.
Thx Johnny5.
Thx Johnny5.
:strip_exif()/u/2043/313546.gif?f=community){kind=small}
Ja ook dat kan. En vrij simpel ook nog.
:strip_exif()/u/51654/dancing_raver_smaller.gif?f=community){kind=small}
Als ik nu geen skins download via die auto. installatieproggie of helemaal geen skins gebruik, loop ik dan nog steeds gevaar voor ongewenste bezoeken ?
Ja - het is het stukje van opera dat het mimetype van de file behandelde dat de fout bevat(te). Als een "kwaadaardige" server dus zegt dat hij een file met het mimetype "skin" stuurt, en zet daarin een .exe bestand, kon hij met de urlhandler bug (dat je met in je url-balk "opera:" programma's kan uitvoeren op de disk) perfect iemand infecteren zonder hij het weet.
Wat je wel kan doen bij pre-7.23 versies is gewoon de mime-types voor die skins wegsmijten (zie hier bij 4. WORKAROUND)
Voor het installeren van "originele" skins vanop de Opera server denk ik niet dat je schrik moet hebben...
Wat je wel kan doen bij pre-7.23 versies is gewoon de mime-types voor die skins wegsmijten (zie hier bij 4. WORKAROUND)
Voor het installeren van "originele" skins vanop de Opera server denk ik niet dat je schrik moet hebben...
D'r wordt hier door sommigen naar Opera gewezen omdat hier toevallig een keer een lek ergens heeft.
1. Bij welke (internet-)software gebeurd dit nooit?
2. Het gaat hier over functionaliteit die de minst veilige browser (in mijn optiek IE) niet eens heeft!
1. Bij welke (internet-)software gebeurd dit nooit?
2. Het gaat hier over functionaliteit die de minst veilige browser (in mijn optiek IE) niet eens heeft!
:strip_icc():strip_exif()/u/85689/crop65fb0c2ca2763_cropped.jpg?f=community){kind=small}
Het moest een keer gebeuren , iedereen trap M$ de grond in als er weer een lek gevonden is, terwijl het bekend is dat omdat M$ het grootste deel van de markt heeft er ook de meeste kans dat men fouten vind.
Nu Opera aan de beurt , Linux had recent ook een lek(je) is allemaal opgelost
Nu Opera aan de beurt , Linux had recent ook een lek(je) is allemaal opgelost
:strip_icc():strip_exif()/u/3496/ford_power_klein.jpg?f=community){kind=small}
Net alsof het al dan niet open zijn van de source een indicatie is van het aantal gevonden lekken/bugs in software. Het feit dat software open is wil niet zeggen dat er makkelijker fouten in gevonden worden. De meeste bugs en lekken hebben als oorzaak een complex samenspel van omstandigheden en werking van bepaalde delen van programma's.dat MS het grooste deel van de markt heeft maakt het bovendien niet autmatisch dat men daarin de meeste fouten vind, de source is immers niet open.
Dan kan je wel interessant in de code gaan zitten kijken, de kans dat je een bug/lek ontdekt is erg klein, voordat je in de gaten hebt hoe de source met elkaar werkt en wat ze van elkaar lenen ben je erg veel tijd kwijt.
Feit is gewoon dat veel mensen MS software gebruiken wat weerr op allemaal diverse soorten machines draait en die weer in veel verschillende soorten omstandigheden hun werk doen. Neem daarbij het feit dat er veel naar bugs wordt gespoord en het is niet vreemd dat er bij MS software relatief veel bugs gevonden worden.
De huidige MS software is inderdaad gemaakt met in het achterhoofd gebruiksvriendelijkheid en dus niet veiligheid. De echte verbetering zullen dus pas in Longhorn te zien zijn.De focus van microsoft is nu eenmaal nog steeds niet echt op veiligheid (hoeveel PR ze de wereld insturen dat het wel zo is)
/u/24411/img.png?f=community){kind=small}
Als we van Iexplore de [b]source{/b} zouden mogen zien vonden we natuurlijk veel meer fouten....
Dat slaat nergens op: marktaandeel heeft er niks mee te maken.
A. Als de sourcecode niet ingezien kan worden moet je dus toevallig tegen de fout/lek aanlopen. Die kans is dus astronomisch klein. Als je de code uit kunt pluizen kom je veel eerder dingen tegen.
B. Hoe uitgebreider de code/ het programma is hoe groter de kans op fouten. En aangezien Opera een combinatie is van IE, Messenger en Outlook express moet je dus die wel bij elkaar trekken voordat je vergelijkt.
C. Hoe slordiger geschreven hoe meer fouten. En dan ligt het er ook maar aan waar je op let als je een programa schrijft: wat is je focus? Gebruiksvriendelijkheid of security. Of zie je security als 1e vereiste (vanzelfsprekend). Is het een gratis toevoeging of een compleet programma waar geld mee verdient moet worden?
A. Als de sourcecode niet ingezien kan worden moet je dus toevallig tegen de fout/lek aanlopen. Die kans is dus astronomisch klein. Als je de code uit kunt pluizen kom je veel eerder dingen tegen.
B. Hoe uitgebreider de code/ het programma is hoe groter de kans op fouten. En aangezien Opera een combinatie is van IE, Messenger en Outlook express moet je dus die wel bij elkaar trekken voordat je vergelijkt.
C. Hoe slordiger geschreven hoe meer fouten. En dan ligt het er ook maar aan waar je op let als je een programa schrijft: wat is je focus? Gebruiksvriendelijkheid of security. Of zie je security als 1e vereiste (vanzelfsprekend). Is het een gratis toevoeging of een compleet programma waar geld mee verdient moet worden?
Toch wel handig om te melden.
Niet iedereen houdt zijn software up to date. En door dit bericht zal dit sneller gebeuren.
Niet iedereen houdt zijn software up to date. En door dit bericht zal dit sneller gebeuren.
Dat vind ik nu een beetje een vreemde opmerking 
Als er een exploit/lek ontdekt wordt, dan wordt dat toch altijd gemeld? Juist voor mensen die (nog) niet hebben geupgrade omdat ze het de moeite niet vonden...
Als er een exploit/lek ontdekt wordt, dan wordt dat toch altijd gemeld? Juist voor mensen die (nog) niet hebben geupgrade omdat ze het de moeite niet vonden...
:strip_exif()/u/23403/wicky55.gif?f=community){kind=small}
maar in de changelog van de laatste versie stond (Een deel van) dezel lekken al genoemd (nouja, ze legden meer de nadruk op de fixes natuurlijk). Kortom, dat die lekken er zaten was ook al langer duidelijk. Natuurlijk kan het geen kwaad om nog een keer te benadrukken dat updaten heel belangrijk is.
Sorry, op de verkeerde replied
Op dit item kan niet meer gereageerd worden.