Diversas vulnerabilidades en Opera

Se han anunciado diversas vulnerabilidades en el navegador Opera
(versiones anteriores 11.60) que podrían permitir a un atacante remoto
obtener información sensible y en determinadas ocasiones un usuario
remoto podrá comunicarse entre dominios.

Uno de los problemas reside en que el navegador no gestiona
adecuadamente las restricciones de dominio de nivel superior de dos
letras (como .no o .uk) y algunos de los de tres letras. Debido a que no
siguen patrones fijos para considerarse como parte del propio dominio
base, en algunos casos requieren dos caracteres punto (“.”), mientras
que en otros solo se requiere uno.

Los sitios solo deben permitir asignar cookies para su propio nombre de
dominio base, y sólo se debe permitir que compartan código script con
sus propios subdominios. Sin embargo debido al error al determinar
cuantos caracteres punto se necesitan para cada dominio de nivel
superior, Opera no aplica la regla de forma correcta para algunos
dominios de nivel superior. Como resultado, algunos dominios pueden
establecer cookies para dominios fuera de sus subdominios. De forma
similar, permite que los sitios asignen su contexto de scripting para
dominios de nivel superior, de forma que puede comunicarse con otros
sitios que tengan su contexto de scripting para dominios de nivel
superior.

Un segundo problema (de gravedad baja) reside las especificaciones SSL
v3.0 y TLS 1.0, de forma que un atacante remoto con la posibilidad de
realizar ataques “hombre en el medio” podría llegar a descifrar sesiones
SSL/TLS.

También existe una vulnerabilidad de gravedad baja, en el tratamiento
del operador “in” de JavaScript que no restringe de forma adecuada el
acceso de dominios cruzados, de forma que puede permitir a sitios web
acceder a comprobar la existencia de variables en sitios de otros
dominios.

Otro problema se presenta en que en determinadas ocasiones la revocación
de certificados no se trata de forma adecuada. Por ultimo, también se ha
anunciado una vulnerabilidad de impacto “moderadamente severo” de la que
no se ha facilitado ningún detalle.

Opera ha publicado la versión 11.60 que corrige los problemas, que puede
descargarse desde:
http://www.opera.com/download/
 Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies