In Opera wurde ein Sicherheitsproblem entdeckt, welches hoch kritisch sein soll. Eine richtige Lösung gibt es noch nicht, aber man arbeitet daran.
Sicherheitsproblem im Opera Browser!
Im Opera-Browser kann ein Heap-basierter Buffer Überlauf provoziert werden, wenn der HTTP-Header modifizierte "Content-Length" Werte größer als 64 bit enthält, wobei der höhere 32 bit Teil negativ ist. Durch dieses Problem kann auch Schadcode ausgeführt werden.
Das Problem tritt auf im Opera Version 10.50, also dem aktuellsten Browser. Bei Secunia und anderen Dienstleistern warnt man aber davor, daß auch andere Versionen durchaus betroffen sein könnten. Bisher gibt es leider noch keine Lösung für dieses Security-Leck. Man sollte einfach keine potenziell unsicheren Seiten ansurfen, bzw. nicht-vertrauenswürdigen Links folgen.
Wir hatten erst über die Neuerscheinung des Opera 10.50 am 3. März berichtet. Bis auf dieses Sicherheitsproblem gibt es an dem Browser eigentlich nichts auszusetzen. Bei Opera arbeitet man natürlich längst an einer Lösung bzw. einem Patch. Außerdem spielt man bei Opera das Problem schon etwas herunter. Das ist nicht ungewöhnlich. Das machen andere Hersteller nicht anders. Man sagt, den Bug auszunutzen wäre extrem schwierig, wenn nicht sogar unmöglich. Also man sagt, man glaubt das. Aber Glauben heißt bekanntlich nicht Wissen.
Als momentane Lösung empfiehlt Opera, ein Sicherheitsfeature von Windows einzusetzen, welches bekannt ist unter dem Namen DEP. Damit ist also die Datenausführungsverhinderung oder im Original Data Execution Prevention gemeint. Dieses Feature ist seit Windows XP Service Pack 2 verfügbar. Versucht ein Programm auf nicht erlaubte Weise Programmcodes aufzurufen, beendet DEP dieses Programm. Mit aktiviertem DEP konnte man bei Opera die Lücke nicht ausnutzen, wie man sagt. Aber Achtung... DEP ist nur auf 64bit Systemen schon eingeschaltet. Bei einem 32bit-Windows muss man das selber erledigen. Für Apple gibt es ähnliche Sicherheitsmechanismen.
Auf Dauer kann man natürlich die Sicherheit des Browsers nicht den jeweiligen Betriebssystemen überlassen. Man kann nur hoffen, daß ganz schnell ein Patch erscheint. Denn der Browser Opera ist ansonsten absolut zu empfehlen.