|
Opera puede permitir ataques "cross-site scripting"
|
|
VSantivirus No. 1492 Año 8, viernes 6 de agosto de 2004
Opera puede permitir ataques "cross-site scripting"
http://www.vsantivirus.com/vul-opera-location.htm
Por Angela Ruiz
angela@videosoft.net.uy
GreyMagic Software de Israel, informa de una vulnerabilidad en Opera, el popular navegador de Internet, que puede permitir a un sitio malintencionado robar información sensitiva del equipo del usuario afectado, y realizar ataques del tipo "cross-site scripting".
Esta vulnerabilidad es causada por un acceso de escritura universal habilitado en el objeto "location". Esto puede ser explotado con el uso de un simple IFRAME, que apunte a una página Web, e inyectando código malicioso en la ventana del navegador. Un código de demostración está disponible, aunque el mismo no puede ser fácilmente utilizado (el código debe ser insertado en un momento preciso).
El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (cross-site scripting). Esto es válido para cualquier sitio web o para un archivo local.
Son vulnerables las versiones 7.53 y anteriores de Opera.
La última versión (7.54), corrige este fallo, por lo que se recomienda su inmediata instalación.
Descarga:
http://www.opera.com/download/
Relacionados:
GreyMagic Security Advisory GM#008-OP
05 Aug 2004. Topic: Location, Location, Location.
http://www.greymagic.com/security/advisories/gm008-op/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|