Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Opera también vulnerable a las cookies
 
VSantivirus No. 498 - Año 6 - Domingo 18 de noviembre de 2001

Opera también vulnerable a las cookies
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Varias vulnerabilidades de javascript en Opera

El cazador de bugs Georgi Guninski, emitió su alerta de seguridad #51, con el aviso de una nueva vulnerabilidad, pero esta vez su blanco no es el Internet Explorer, sino el Opera.

Opera es un navegador de Internet, multiplataforma, y con algunas características (más pequeño, varias páginas en la misma pantalla, etc.), que hacen que lo prefieran muchos usuarios.

Sin embargo, quienes piensen que al no usar el explorador de Microsoft, están libres de las fallas de seguridad que suelen ser descubiertas en este producto, deberían saber que Opera también posee las suyas.

Este problema afecta las versiones Opera 5.12 de Windows, Opera 5.0 de Linux, y probablemente también versiones anteriores.

Existen en este producto, varias vulnerabilidades, todas relacionadas con el uso de javascript. En concreto, esta falla permite a un script en una página, acceder a otras páginas (y sus propiedades) en otro dominio.

El riesgo de esto es muy similar al de la falla en las cookies del Internet Explorer. En el caso de Opera, esta falla permite la lectura de enlaces desde el caché y el historial del usuario, con las implicancias que esto tiene en la seguridad.

Recordemos que muchas veces (por no decir casi siempre), en el caché se conservan las cookies, los enlaces y el contenido con información confidencial (usuario/contraseña) recién usada en algún sitio, etc.

Según Guninsky, Opera fue avisado del problema el 5 de noviembre, y se le preguntó si se sacaría un parche o actualización, y cuando.

La solución por el momento, pasa por deshabilitar JavaScript. Pero Opera sugiere se habilite la opción "Use cookies to trace password protected documents" (usar cookies para rastrear documentos protegidos por contraseñas).

La respuesta a Guninski fue que habilitar esta opción, sería suficiente, ya que ello hace que ni las páginas protegidas por passwords ni las cookies, fueran guardadas en el caché.

Opera también menciona que esta opción puede ser catalogada como paranoica, ya que hace que muchas páginas queden directamente inalcanzables o que no puedan ser visualizadas correctamente. 

Para Opera, muchas tecnologías empleadas en Internet no son seguras, pero es inoportuno para el usuario, que no pueda usarlas, por lo que se brinda una opción para bloquear aquella información que pueda ser privada, sin sacrificar la funcionalidad de la navegación.

Referencias:

Several javascript vulnerabilities in Opera
Georgi Guninski security advisory #51, 2001
http://www.guninski.com/opera1-desc.html


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2001 Video Soft BBS