Opera9.61がリリースされました

　主にセキュリティ関係の問題点が修正されたらしい．ようは，今回のバージョンはセキュリティアップデートということで．修正された脆弱性は合計で3つ．そのうち1つは深刻度が高めなので，Operaユーザーはなるべく早くアップグレードしましょうとのこと．

ダウンロードは以下から．

　Opera 9.61 for Windows - Opera software

変更点は以下を参照．

　Opera 9.61 for Windows Changelog - Opera software

以下，関連記事．

　Webブラウザー「Opera」の最新版が公開、3件の脆弱性を修正 - ITPro

　Opera 9.61で修正された脆弱性は3件。1件は、Operaが備える「履歴検索」機能に関するもの。Operaには、過去にアクセスしたWebページをキーワード検索できる機能がある。この機能に脆弱性が見つかった。細工が施されたWebページにアクセスすると、今までのアクセス履歴を盗まれる恐れなどがあるという。
　「早送り」機能にも脆弱性が見つかった。「早送り」機能は、現在表示しているWebページ中のリンクなどをOperaが分析して、次のページである可能性が高いURLを推測するもの。ユーザーが「早送り」ボタンを押すと、Operaが「次のページ」と推測したページに移動できる。この機能にクロスサイトスクリプティングの脆弱性があり、細工が施されたWebページにアクセスすると、悪質なスクリプト（プログラム）を勝手に実行される恐れなどがある。
　もう1件は「ニュースフィード」機能に関する脆弱性。悪質なスクリプトを送信されると、攻撃者が選択したニュースフィードを購読させられる恐れなどがあるという。
　　　　　　　　　　Webブラウザー「Opera」の最新版が公開、3件の脆弱性を修正 - ITProより引用

　Opera、閲覧履歴を見られる脆弱性を修正 - ITmedia

Opera 9.61では3件の脆弱性に対処した。このうち、履歴検索の脆弱性は悪用されるとページにスクリプトが挿入され、ユーザーの閲覧履歴を見られてしまう恐れがあり、Operaは「極めて深刻」だと評価している。
　このほか「早送り」機能に関するクロスサイトスクリプティング（XSS）の脆弱性と、ニュースフィードのプレビュー機能で不正スクリプトが適切にブロックされない問題も修正された。
　　　　　　　　　　Opera、閲覧履歴を見られる脆弱性を修正 - ITmediaより引用

　「Opera 9.61」公開、脆弱性3件とOpera Linkの不具合などを修正 - INTERNETWatch

Opera 9.61では、履歴検索機能から訪問履歴が知られてしまう可能性のある問題や、早送り機能でのクロスサイトスクリプティング、フィードのプレビューから無関係のフィードの内容が知られてしまう可能性のある問題の、合計3件の脆弱性を修正した。
　脆弱性の修正以外では、ブックマーク情報を同期できる「Opera Link」でブックマークが二重になってしまう問題などを修正した。また、Windows版のみの変更として、新たなコマンドラインオプションが追加されている。
　　　　　　　　　　「Opera 9.61」公開、脆弱性3件とOpera Linkの不具合などを修正 - INTERNETWatchより引用

まあ，正直なところ，そこまで危険性が高い脆弱性ってのは今回無いんだけど，とりあえず，ニュースフィードにおける脆弱性に関して，それぞれの記事で分かり難い説明が為されているので補足しておくと，ITProの説明が一番語弊がない書き方をしている．ようは，Operaでニュースフィードをプレビューするとき，正しくブロックできないスクリプトがあるために，それらのスクリプトによって，攻撃者が意図したニュースフィードを購読させられる・・っていう危険性があったんだけど，その脆弱性を修正しましたよーって話．（詳しくはAdvisory参照）*1

まあ，そんなわけで，そこまで深刻な脆弱性（リモートで任意のコード実行とか）ではないけど，それなりな脆弱性も含まれてることは事実なので，早めにOpera9.61にアップグレードしましょー．

Operaに別のクロスサイトスクリプティングな脆弱性

つい先日，Opera9.61がリリースされ，3つの脆弱性が修正されたばかりなんだけど，どうやら，他にも修正されていないXSS脆弱性（Stored Cross Site Scriptingと呼ばれる脆弱性関連）があるらしい.これを利用すれば，リモートから任意のコードを実行される危険性がある．（実証コード（PoC）では，Windowsに標準装備の"電卓"を起動させるものらしい）

　Another cross-site hole in Opera - heise Security

To infect a computer a web page could, for example, first make Opera download malware
via FTP and then prompt the browser to execute it.
　　　　　　　　　　Another cross-site hole in Opera - heise Securityより引用

この脆弱性を悪用されれば，FTPでマルウェアをダウンロードさせられて，その後でブラウザがそのファイルを実行するように促す・・ということが悪意のあるものによって細工されたWebページによって可能になる．

There is no update to fix this vulnerability. Whether Opera has already been informed about
the problem is unknown. Users are advised to switch to a different browser until an update
becomes available.
　　　　　　　　　　Another cross-site hole in Opera - heise Securityより引用

この脆弱性を修正するためのアップデートはまだない．Operaがこの脆弱性に関してすでに把握しているのかは不明．
ユーザーはアップデートが利用可能になるまで，違うブラウザに乗り換えることを薦める……とのこと．まあ，それでもIE使ってるよりはよっぽどセキュアだと思うけどね．それに，Operaの更新速度は十分賞賛に値するくらい早いし．
　多分，2，3日中にはこの脆弱性も修正されてる……と期待してる．