Se ha lanzado la versión 9.60 del navegador Opera, que corrige dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad, revelar información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.
Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.
La versión 9.6 incluye cambios y mejoras en Opera Link, característica para sincronizar los favoritos y el historial de navegación; en el cliente de correo M2, incluyendo un modo especial para entornos con ancho de banda limitado; y en el Scroll Marker, añadiendo la posibilidad de marcar hasta donde has leído.
De las dos vulnerabilidades corregidas recientemente, la primera está catalogada como extremadamente severa por el equipo de Opera puesto que permitiría la ejecución remota de código, y la segunda se eleva a la categoría de altamente severa. A continuación se explican con detalle ambas vulnerabilidad solventadas:
* La primera vulnerabilidad, de la que no se han aportado detalles técnicos, podría permitir que un atacante remoto ejecutase código arbitrario por medio de una página web que redirigiera el navegador a una URL especialmente manipulada.
* El segundo problema está causado por un fallo en el cacheo de applets de Java, que podría dar lugar a que se cargase una applet en el contexto de la máquina local. Esto podría permitir, por ejemplo, que se leyeran otros archivos almacenados en caché que podrían contener información sensible.
Por último, señalar que se ha activado la característica de validación extendida (Extended Validation -EV-) para los certificados que provengan de Verisign (incluyendo Thawte y Geotrust) y Comodo. Se puede hacer una prueba de los mismos en los enlaces de la sección Más Información.
Las vulnerabilidades están confirmadas para todas las versiones de Opera, desde la 5.x hasta la 9.5.x para Windows, Linux y Mac OS X.
Se recomienda actualizar a la versión 9.60 del navegador Opera, disponible para su descarga desde:
http://www.opera.com/download/
pmolina@hispasec.com
Más información:
Opera 9.6 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/960/
Advisory: Specially crafted addresses can execute arbitrary code
http://www.opera.com/support/search/view/901/
Advisory: Java applets can be used to read sensitive information
http://www.opera.com/support/search/view/902/
Enlaces a URLs con Extended Validation Certificates:
* Comodo:
https://comodocertificationauthority-ev.comodoca.com/
https://www.sslcertificaten.nl/
https://secure.comodo.com/example.html
* Geotrust: https://www.geotrust.com
* Thawte: https://www.thawte.com
* Verisign:
https://www.dnbnor.no/
https://nettbank.sparebank1.no/
Deja una respuesta