W zabezpieczeniach przeglądarki Opera znaleziono błąd, który umożliwia zawieszenie przeglądarki. Teoretycznie luka pozwala również na uruchomienie złośliwego kodu (dlatego też wstępnie uznano ją za "krytyczną") - ale przedstawiciele Opera Software zapewniają, że niebezpieczeństwo jest znikome.
Problem został wykryty przez specjalistów ds. bezpieczeństwa z firmy Vupen Security (którzy już w miniony czwartek opublikowali pierwsze informacje na ten temat) - jest to klasyczny błąd przepełnienia bufora (buffer overflow). W normalnych warunkach taka luka umożliwia nie tylko zawieszenie aplikacji, ale także zmuszenie systemu do uruchomienia nieautoryzowanego kodu.

Jednak przedstawiciele Opery zapewniają, że w tym przypadku nie jest to możliwe - w rozmowie z serwisem The Register rzecznik firmy, Thomas Ford, oświadczył: "Uważamy, że błąd umożliwia przede wszystkim wywołanie nieoczekiwanego zamknięcia programu - wykorzystanie luki do uruchomienia złośliwego kodu jest ekstremalnie trudne. Sądzimy wręcz, że jest to niewykonalne w normalnych okolicznościach. Nasze testy wykazały, że DEP [Data Execution Prevention - system zabezpieczający stosowany w Windows od czasów Windows XP SP2 - red.] skutecznie zabezpiecza użytkowników przed takim atakiem".

Luka występuje w Operze 10.50 (czyli najnowszym wydaniu) oraz wcześniejszych w środowisku Windows (specjaliści z Vupen Security sprawdzali błąd w Windows XP SP3).

Warto jednak przypomnieć, że zaledwie kilka dni temu Berend-Jan Wever, specjalista ds. bezpieczeństwa z koncernu Google, zaprezentował nową technikę obchodzenia technologii Data Execution Prevention. Opracowany przez niego kod może zostać bez problemów zastosowany w exploicie wykorzystującym jakąś lukę w jednej z zainstalowanych w systemie aplikacji - czyli świetnie nadaje się np. do zaatakowanie systemu przez opisywaną powyżej lukę w Operze. Dlatego też ryzyko ataku może być większe, niż sądzą przedstawiciele Opery - którzy są przekonani, że DEP skutecznie chroni użytkowników przez atakiem wykorzystującym błąd w ich produkcie. Szerzej o odkryciu Wevera pisaliśmy w tekście "Nowa metoda obchodzenia zabezpieczeń Windows".

Oczywiście, Opera zamierza wkrótce załatać swój produkt - Thomas Ford poinformował, że firma pracuje już nad stosowną poprawką.

Więcej informacji o luce w Operze można znaleźć na stronie Vupen Security.


Podziel się |

Komentarze (15)

  • ~gość
  • 2010-03-08 15:16:56

Wolę nieszczęsną operę od dynamicznego zestawu nieszczęść jakim jest łata na łacie z dowolnymi dodatkami zwana FX.

  • ~qqman
  • 2010-03-08 16:37:10

Zdecydowanie lepszą i dojrzalszą przeglądarką jest IE8. "O" pozostaje coraz bardziej w tyle nieszczęsną namiastką.

  • ~mc
  • 2010-03-08 17:46:08

@~qqman Wywołałeś u mnie niesamowitą wesołość.

  • ~gość
  • 2010-03-08 18:08:29

Jakby to była luka w IE lub Mozilli to zaraz zaśmieciłoby komentarzami miliard speców jakie to te przeglądarki są słabe a dziury dawno powinny być poprawione...

  • ~gość
  • 2010-03-08 18:16:44

Tytuł powinien brzmieć "Dziura w Operze"

  • ~gość
  • 2010-03-08 19:19:02

Lepszy tytuł to Upiór w Operze. @ qqman , a co to jest IE8, bo powiem ci szczerze, że domyslam się iż jest to jakis program którego próbujesz używać do przeglądania internetu, a tak naprawdę jest to program do przeglądania zawartości twojego komputera przez bardziej oczytanych i cwańszych znawców informatyki od Ciebie.

  • ~WTF
  • 2010-03-08 19:29:16

"Sądzimy wręcz, że jest to niewykonalne w normalnych okolicznościach. Nasze testy wykazały, że DEP [Data Execution Prevention - system zabezpieczający stosowany w Windows od czasów Windows XP SP2 - red.] skutecznie zabezpiecza użytkowników przed takim atakiem"." Bardzo fajnie że to vupen wykrył lukę i bardzo fajnie że każą włączyć DEP jeśli możliwośc wykonania kodu nie istnieje Bardzo fajnie również do przepełnienia do chodzi w wyniku parsowania Content-Length a nie renderowania strony Skoro każda i tylko 64 bitowa liczba przekraczająca zakres długości powoduje błąd

  • ~Wtf
  • 2010-03-08 19:31:46

Bardzo również fajnie że Opera razem z kolesiami SF od tak na hop siup zmienili range tego błędu Bardzo fajnie polecam bubla jakim jest osttnia Opera jej developerzy prezentują bardzo dojrzałe podejście do problemu i ogólnie bardzo fajnie

  • ~wtf
  • 2010-03-08 19:33:25

sprostowanie *każda i tylko 64 bitowa liczba nie parzysta przekraczająca zakres długości Sory

  • ~żal
  • 2010-03-08 19:40:54

Mają skubanice duży problem bo nie dość że szybko to w dodatku takie nic zburzyło cały budowany tak długo PIAR tego browsera

  • ~wtf
  • 2010-03-08 19:58:19

Zresztą usuńcie moje [WTF 4 ostatnie] komentarze jeśli możecie Bo moja pretensjionalność jest bez sensu Olać cały ten temat ;c

  • ~OperaFanBoy
  • 2010-03-08 22:46:09

Kłamstwo. Opera to najbezpieczniejsza przeglądarka i nie ma żadnych luk i nigdy żadnych nie było!

  • ~kris
  • 2010-03-09 01:14:57

Nowa opera zalicza krasze nawet podczas otwierania PDFÓW

  • ~Polo
  • 2010-03-09 08:29:41

"Kłamstwo. Opera to najbezpieczniejsza przeglądarka i nie ma żadnych luk i nigdy żadnych nie było!" Hehehe, to brzmi jak pewien osobnik na R, przy czym on by pisał o IE i o tym że firefox i całe środowisko Opensource to syf ;-) Dziury były są i będą w każdej przeglądarce.. Najważniejsza jest szybkość ich łatania - nie wiem jak to wygląda w przypadku Opery, ale w porównaniu Firefox vs. IE - chyba nie muszę mówić kto wygrywa :) A o ile się nie mylę Opera też w miarę szybko reaguje na takie problemy, chociaż dziwne, że nie widzą tutaj większego problemu, bo to ''tylko'' zawiesza aplikacje.. Skoro istnieje możliwość uruchomienia złośliwego kodu (tym bardziej, że już ktoś znalazł sposób na DEP), to powinni szybko się za to wziąć..

  • ~ZX
  • 2010-03-09 17:11:06

qqman, uważaj żeby przypadkiem F1 nie nacisnąć w tej "dojrzałej" przeglądarce.

reklama

Popularne produkty

Nokaut
Plazma PANASONIC TX-P50G30E

Plazma PANASONIC TX-P50G30E

w 79 sklepach od 2198,99 zł
Plazma PANASONIC TX-P50G30E
Aparat Nikon D90

Aparat Nikon D90

w 18 sklepach od 1997,00 zł
Aparat Nikon D90
Konsola MICROSOFT Xbox 360 4 GB

Konsola MICROSOFT Xbox 360 4 GB

w 93 sklepach od 158,86 zł
Konsola MICROSOFT Xbox 360 4 GB

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
reklama
Warunki obsługi - Kontakt - Regulamin
Polityka prywatności - Serwis zgodny z ASME
Serwisy IDG - Reklama -
© Copyright 2011 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001