Opera schnüffelt im Dateisystem (Update)
Opera 7 weist eine Reihe von Sicherheitslücken auf; so kann ihn ein Angreifer missbrauchen, um beliebige Dateien auszuschnüffeln.
Die israelische Sicherheitsfirma Greymagic warnt vor einer Reihe von schwerwiegenden Sicherheitslücken im Web-Browser Opera 7 für Windows, den der gleichnamige Hersteller vor einer Woche herausgebracht hat.
Das gravierendste Probleme basiert auf einer Schwäche in Operas JavaScript-Sicherheitsmodell. Um Missbrauch zu vermeiden, verhindern andere aktuelle Browser wie Mozilla oder der Internet Explorer, dass ein HTML-Dokument aus einer Domain auf Inhalte von Web-Seiten einer anderen Domain zugreifen kann. Opera bietet diesen Schutz nicht. So kann ein Angreifer beliebige Dateien auf dem PC eines Opfers ausspähen. Greymagic hat auf seinem Server eine Reihe von Demos bereitgestellt; auf deutschen Systemen funktionieren diese aber teilweise nicht, da offenbar einige Pfadangaben nicht stimmen. Auf dem c't Browsercheck finden Sie deshalb eine Demonstration, bei der man den Pfad manuell ändern kann. Damit war es bei unseren Tests möglich, beliebige Dateien auszulesen.
Betroffen ist laut Greymagic nur die aktuelle Windows-Version 7 von Opera. Als Abhilfe sollte man JavaScript deaktivieren. Einige der Sicherheitslöcher hatte Greymagic bereits in den Beta-Versionen von Opera 7 entdeckt und an Opera gemeldet. Der Software-Hersteller hat aber bisher nicht auf die Warnungen reagiert. (jo)
