DFN-CERT-2012-1337 Schwachstelle in Opera [Linux][SuSE]

DFN-CERT-2012-1337 Schwachstelle in Opera [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket opera

Betroffene Plattformen:

openSUSE 12.1

Mehrere Schwachstellen in Opera ermöglichen einem entfernten Angreifer
schlimmstenfalls das Ausführen von beliebigem HTML- oder Script-Code im
Kontext des Browsers.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2012-3556: Schwachstelle in Opera

Opera vor Version 12.00 und Opera 11.x vor Version 11.65 versäumt es das
Öffnen von Pop-Up-Fenstern nach dem ersten Klick eines Doppelklicks
hinreichend zu beschränken. Dies erleichtert einem entfernten Angreifer das
Durchführen von Cross-site Scripting (XSS) Angriffen und somit das Ausführen
von beliebigem Code im Kontext des Browsers.

CVE-2012-3555: Schwachstelle in Opera

Opera vor Version 12.00 und Opera 11.x vor Version 11.65 ordnet
Tastatureingaben nicht immer einem sichtbaren Fenster zu. Dies erleichtert
einem entfernten Angreifer das Durchführen von Cross-site Scripting (XSS)
Angriffen und somit das Ausführen von beliebigem Code im Kontext des
Browsers.

CVE-2012-3558: Schwachstelle in Opera

In Opera vor Version 12.00 und in Opera 11.x vor Version 11.65 kann es zu
Inkonsistenzen zwischen der Adressleiste und dem Seiteninhalt kommen. So
kann eine bestimmte Navigation im Zusammenhang mit gewissen Kombinationen
von Neuladen und Weiterleiten der Seite bei langsam antwortenden Webseiten,
die Adresse der Zielseite angezeigt werden während der Inhalt der Seite des
Angreifers angezeigt wird. Dies erleichtert einem entfernten Angreifer das
Fälschen von Webseiten und dadurch das Erlangen von vertraulichen
Informationen.

CVE-2012-3557: Schwachstelle in Opera

Opera vor Version 12.00 und Opera 11.x vor Version 11.65 versäumt es Zugriff
auf JSON-Strings hinreichend zu beschränken. Dies ermöglicht einem
entfernten Angreifer durch das Laden von JSON Ressourcen aus anderen Domains
vertrauliche Informationen zu erlangen.

CVE-2012-3560: Schwachstelle in Opera

In Opera vor Version 12.00 und in Opera 11.x vor Version 11.65 kann es zu
Inkonsistenzen zwischen der Adressleiste und dem Seiteninhalt kommen. So
wird in der Adressleiste eine URL angezeigt, die zugehörige Seite jedoch
während einer gesperrten Navigation nicht geladen. Dies erleichtert einem
entfernten Angreifer das Fälschen von Webseiten und dadurch das Erlangen von
vertraulichen Informationen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1337/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/

Schwachstelle CVE-2012-3560:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3560

Schwachstelle CVE-2012-3557:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3557

Schwachstelle CVE-2012-3558:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3558

Schwachstelle CVE-2012-3555:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3555

Schwachstelle CVE-2012-3556:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3556

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben