Opera 9.63がリリースされました
Opera 9.63がリリースされました.今回のはセキュリティアップデートなので,Opera 9.62以前を使用している人はぜひぜひアップグレードを.
変更点は以下の7件の模様.
Manipulating text input contents can allow execution of arbitrary code, as reported by Red XIII. See our advisory.
HTML parsing flaw can cause Opera to execute arbitrary code, as reported by Alexios Fakos. See our advisory.
Long hostnames in file: URLs can cause execution of arbitrary code, as reported by Vitaly McLain. see our advisory.
Script injection in feed preview can reveal contents of unrelated news feeds, as reported by David Bloom. See our advisory.
Built-in XSLT templates can allow cross-site scripting, as reported by Robert Swiecki of the Google Security Team. See our advisory.
Fixed an issue that could reveal random data, as reported by Matthew of Hispasec Sistemas. Details will be disclosed at a later date.
SVG images embedded usingtags can no longer execute Java or plugin content, suggested by Chris Evans.
Changes since Opera 9.62
その他,INTERNETWatch,ITmedia,ZDNetに関連記事が挙がっている.
「Opera 9.63」が公開、脆弱性6件を修正 - INTERNETWatch
Opera 9.63が公開、深刻な脆弱性に対処 - ITmedia
オペラ、7件の脆弱性に対応した「Opera 9.63」を公開 - ZDNet
Opera 9.63では、入力されたテキストが悪用されると任意のコードが実行可能だった問題など、危険度の高い脆弱性を含む6件の脆弱性を修正した。また、imgタグで埋め込まれたSVG画像から、Javaやプラグインが実行できないよう仕様が変更された。
「Opera 9.63」が公開、脆弱性6件を修正 - INTERNETWatchより引用
変更履歴によると、Opera 9.63では7項目のセキュリティ問題に対処した。この中にはテキストエリアコンテンツを操作して任意のコードを実行される問題や、特定のHTML構造によってクラッシュが誘発される問題など、「極めて深刻」な脆弱性が複数含まれる。
Opera 9.63が公開、深刻な脆弱性に対処 - ITmediaより引用
今回のアップデートが対応している中で最も深刻な2つの欠陥の1つ目は、攻撃者が入力テキストを操作してバッファオーバーフローを起こし、任意のコードを実行可能にするというものだ。これにより、攻撃者はコンピュータをリモート制御できるようになる。2つ目はHTMLのパースに関わるもので、ある種のHTML記述を利用することで予期しない変更を引き起こし、クラッシュを誘発するという。ただし、Operaの勧告によれば、コードを侵入させるにはさらに別の手段を使う必要があるという。
また、3つの問題が「深刻度が高い」と分類されている。1つ目は「file: URL」形式で長いホスト名を記述してバッファオーバーフローを引き起こし、任意のコードを実行させるというものだ。ただし、攻撃を実行するには、ユーザーをだまして悪意あるURLを手動で開かせる必要があるとOperaは説明している。
---後略---
オペラ、7件の脆弱性に対応した「Opera 9.63」を公開 - ZDNetより引用
