Alert GCSA-08086 - Vulnerabilita' multiple in Opera Web Browser
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-08086
Data : 22 Agosto 2008
Titolo : Vulnerabilita' multiple in Opera Web Browser
************************************************************************
:: Descrizione del problema
Sono state segnalate varie vulnerabilita' presenti nel browser web Opera,
che potrebbero essere sfruttate per aggirare restrizioni di sicurezza,
ottenere accesso a informazioni riservate, o prendere il controllo di un
sistema affetto.
La prima vulnerabilita' e' causata da un errore che si verifica se il
browser viene aperto da un'altra applicazione quando e' stato registrato come
gestore di uno specifico protocollo, e puo' essere sfruttata per causare un
blocco del sistema o per eseguire codice arbitrario.
La seconda vulnerabilita' e' dovuta ad un errore nel modo in cui il browser
controlla quali frame vanno cambiati, e puo' essere sfruttata da un sito
appositamente predisposto, per cambiare l'indirizzo di frame che puntano ad
altri siti all'interno di ogni finestra di browser aperta, e mostrare
informazioni ingannevoli.
La terza vulnerabilita' e' causata da un errore non specificato nella
validazione dell'input, che potrebbe permettere cross-site scripting.
La quarta vulnerabilita' e' causata da un errore nel gestire parametri
malformati in congiunzione con scorciatoie di tastiera personalizzate e
comandi di menu, e puo' essere sfruttata per eseguire codice arbitrario.
La quinta vulnerabilita' e' dovuta al fatto che il browser mostra
scorrettamente l'icona di padlock quando pagine non sicure caricano contenuti
sicuri all'interno di un frame, e puo' essere sfruttata inducendo la
finestra di dialogo di security information a considerare la connessione
sicura.
La sesta vulnerabilita' e' causata da un errore nell'iscriversi a news feed
usando il bottone di iscrizione ai feed, e puo' essere sfruttata per cambiare
l'indirizzo della pagina.
:: Software interessato
Opera versione 9.51 e precedenti
:: Impatto
Bypass dei controlli di sicurezza
Esposizione di informazioni sensibili
Spoofing di indirizzi
Denial of Service
Accesso al sistema
:: Soluzione
Aggiornare Opera alla versione 9.52
http://www.opera.com/download/
:: Riferimenti
Opera
http://www.opera.com/docs/changelogs/windows/952/
http://www.opera.com/support/search/view/892/
http://www.opera.com/support/search/view/893/
http://www.opera.com/support/search/view/894/
http://www.opera.com/support/search/view/895/
http://www.opera.com/support/search/view/896/
http://www.opera.com/support/search/view/897/
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/30768
Secunia
http://secunia.com/advisories/31549
FrSirt
http://www.frsirt.com/english/advisories/2008/2416
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSK6dbPOB+SpikaiRAQJYrgP+O67Trq2FtWO7FSfJmh026fYxEYD11qlp
+YcoBtEZNbEiwGUsgoOcCPQ41pEb+G12wlaYfGQR1yYS9ILUtAvcxvUUDiHW2PE/
qlpgg9Rg1L5jgOyN2e0+MJ/OOgxkeEVZmP1oroBUKCwviqkZYMear37y9AY0jRdF
HaSS87yP4Sk=
=3f11
-----END PGP SIGNATURE-----
Hash: SHA1
************************************************************************
Alert ID : GCSA-08086
Data : 22 Agosto 2008
Titolo : Vulnerabilita' multiple in Opera Web Browser
************************************************************************
:: Descrizione del problema
Sono state segnalate varie vulnerabilita' presenti nel browser web Opera,
che potrebbero essere sfruttate per aggirare restrizioni di sicurezza,
ottenere accesso a informazioni riservate, o prendere il controllo di un
sistema affetto.
La prima vulnerabilita' e' causata da un errore che si verifica se il
browser viene aperto da un'altra applicazione quando e' stato registrato come
gestore di uno specifico protocollo, e puo' essere sfruttata per causare un
blocco del sistema o per eseguire codice arbitrario.
La seconda vulnerabilita' e' dovuta ad un errore nel modo in cui il browser
controlla quali frame vanno cambiati, e puo' essere sfruttata da un sito
appositamente predisposto, per cambiare l'indirizzo di frame che puntano ad
altri siti all'interno di ogni finestra di browser aperta, e mostrare
informazioni ingannevoli.
La terza vulnerabilita' e' causata da un errore non specificato nella
validazione dell'input, che potrebbe permettere cross-site scripting.
La quarta vulnerabilita' e' causata da un errore nel gestire parametri
malformati in congiunzione con scorciatoie di tastiera personalizzate e
comandi di menu, e puo' essere sfruttata per eseguire codice arbitrario.
La quinta vulnerabilita' e' dovuta al fatto che il browser mostra
scorrettamente l'icona di padlock quando pagine non sicure caricano contenuti
sicuri all'interno di un frame, e puo' essere sfruttata inducendo la
finestra di dialogo di security information a considerare la connessione
sicura.
La sesta vulnerabilita' e' causata da un errore nell'iscriversi a news feed
usando il bottone di iscrizione ai feed, e puo' essere sfruttata per cambiare
l'indirizzo della pagina.
:: Software interessato
Opera versione 9.51 e precedenti
:: Impatto
Bypass dei controlli di sicurezza
Esposizione di informazioni sensibili
Spoofing di indirizzi
Denial of Service
Accesso al sistema
:: Soluzione
Aggiornare Opera alla versione 9.52
http://www.opera.com/download/
:: Riferimenti
Opera
http://www.opera.com/docs/changelogs/windows/952/
http://www.opera.com/support/search/view/892/
http://www.opera.com/support/search/view/893/
http://www.opera.com/support/search/view/894/
http://www.opera.com/support/search/view/895/
http://www.opera.com/support/search/view/896/
http://www.opera.com/support/search/view/897/
Securityfocus Bugtraq ID
http://www.securityfocus.com/bid/30768
Secunia
http://secunia.com/advisories/31549
FrSirt
http://www.frsirt.com/english/advisories/2008/2416
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSK6dbPOB+SpikaiRAQJYrgP+O67Trq2FtWO7FSfJmh026fYxEYD11qlp
+YcoBtEZNbEiwGUsgoOcCPQ41pEb+G12wlaYfGQR1yYS9ILUtAvcxvUUDiHW2PE/
qlpgg9Rg1L5jgOyN2e0+MJ/OOgxkeEVZmP1oroBUKCwviqkZYMear37y9AY0jRdF
HaSS87yP4Sk=
=3f11
-----END PGP SIGNATURE-----