[secunia] Dwie średnio krytyczne dziury w Operze/M2 - zalecana aktualizacja do 8.5

w dziale Opera
tashi napisał(a):

[cytat
1. Attached files are opened without any warnings directly from the user's cache directory. This can be exploited to execute arbitrary JavaScript in context of "".
2. Normally, filename extensions are determined by the "Content-Type" in Opera Mail. However, by appending an additional '.' to the end of a filename, an HTML file could be spoofed to be e.g. "image.jpg.".
The two vulnerabilities combined may be exploited to conduct script insertion attacks if the user chooses to view an attachment named e.g. "image.jpg." e.g. resulting in disclosure of local files.
The vulnerabilities have been confirmed in Opera version 8.02, prior versions may also be vulnerable.
/cytat]
http://secunia.com/advisories/16645/

quiris napisał(a):

Przy okazji podam, że 18 dni temu upłynęło 200 dni od momentu, gdy zielone światło dla przeglądarki zapłonęło smile O siedmiu miesięcy Opera cieszy się mianem jedynej popularnej przeglądarki, która nie posiada żadnej znanej niezałatanej dziury związanej z bezpieczeństwem party

szyk napisał(a):

Hmm, ale to nie przypadkiem m.in dzięki temu, że Secunia opóźniała czasem o dzień czy dwa ogłoszenie błędu do czasu wyjścia nowej wersji Opery bez tego błędu? Tak mi się przynajmniej coś kojarzy... smile

quiris napisał(a):

Originally posted by szyk:

Hmm, ale to nie przypadkiem m.in dzięki temu, że Secunia opóźniała czasem o dzień czy dwa ogłoszenie błędu do czasu wyjścia nowej wersji Opery bez tego błędu?

To się nazywa właściwa współpraca Secunii z Operą smile

szyk napisał(a):

No tak, są równi i równiejsi. p
Coś czuję, że fani np. Firefoksa mogliby się przyczepić do tych 7 miesięcy... wink

quiris napisał(a):

Wiesz, to akurat nie przeszkadza, aby fundacja Mozilla również wypracowała sobie podobne metody współpracy z Secunią p

szyk napisał(a):

No racja. smile

PS. Ciekawi mnie, dlaczego jeszcze nie zostały w Firefoksie poprawione pomniejsze błędy związane z bezpieczeństwem, które są znane od ponad roku. Brak starych dziur i podobna współpraca z Secunią jak w przypadku OS mogłyby spowodować wzrost prestiżu Firefoksa, nadwątlonego pojawianiem się w ostatnim czasie krytycznych błędów...

quiris napisał(a):

Najwidoczniej developerzy Mozilli mają ważniejsze problemy na głowie niż poprawa reszty błędów.

meaglin napisał(a):

Co nie zmienia faktu, że o te błędy, niektórzy "inteligenci" uważają, że FF jest mnie bezpieczny od IE. A to oznacza, że oświata polska jest w fatalnym stanie, bo nie uczy ludzi liczyć do dwudziestu.

andol napisał(a):

Originally posted by szyk:

Hmm, ale to nie przypadkiem m.in dzięki temu, że Secunia opóźniała czasem o dzień czy dwa ogłoszenie błędu do czasu wyjścia nowej wersji Opery bez tego błędu?



Wszystkie poważne firmy tego typu kontaktują się z producentami oprogramowania przed publicznym ogłoszeniem wykrytych błędów bezpieczeństwa. Jeśli producent wyraża gotowość szybkiego wprowadzenia odpowiednich poprawek, wówczas informacje o błędach nie są publikowane do czasu pojawienia się poprawionej wersji aplikacji. Dzieje się tak ze względu na dobro użytkowników, a nie samego producenta, gdyż błędów bezpieczeństwa poszukuje się nie po to, aby zdeprecjonować wartość oprogramowania czy jego producenta, ale po to, aby ustrzec użytkowników przed problemami, które mogłyby się pojawić, gdyby błędy zostały wcześniej odkryte i wykorzystane przez cyber-przestępców.