Вийшли Opera 9.61 та Opera 9.62

20:06 01.11.2008

В минулому місяці, після виходу Opera 9.60. вийшли дві нові версії браузера: 21.10.2008 вийшла Opera 9.61, а 30.10.2008 вийшла Opera 9.62.

Необхідність такого швидкого випуску оновлення Оперою, викликана XSS уразливістю в браузері, що призводила до Code Execution атаки. Дана уразливість була виявлена в Opera 9.60 і неякісно виправлена в версії 9.61, й тому була випущена версія 9.62, де уразливість нарешті була повністю виправлена.

Нові версії Opera є оновленнями, що покращують безпеку браузера. В даних версіях окрім деяких змін та виправлення багів, також було виправлено декілька уразливостей. І знову, як і попереднього разу, в цих версіях жодна зі знайдених мною дірок в Opera, про які я повідомив розробникам, виправлена не була.

Серед виправлень безпеки в Opera 9.61:

  • Виправлена XSS уразливість в History Search.
  • Виправлена можливість Cross-Site Scripting через Fast Forward.
  • Недопущена можливість читання через функцію feed preview інших фідів.

Серед виправлень безпеки в Opera 9.62:

  • Виправлена XSS уразливість в History Search, що дозволяла виконати довільний код.
  • Виправлена можливість Cross-Site Scripting через панель лінок.

По матеріалам http://www.opera.com.


2 відповідей на “Вийшли Opera 9.61 та Opera 9.62”

  1. trovich каже:

    Ти бач, Опера пішла слизькою доріжкою ФФ. Пам’ятаєш минуле оновлення за тиждень через пропущений тупорилий баг? Не дуже добра тенденція серед вільного ПЗ.

  2. MustLive каже:

    Так, Опера пішла доріжкою ФФ. Ця ситуація схожа на FF 3.0.2 і 3.0.3, про яку ти згадав, але тут я ряд відмінностей.

    По-перше, у випадку ФФ був баг, який “випадково” був допущений при виході нової версії. В даному ж випадку в Опері мала місце секюріті дірка. А за дірками варто слідкувати серйозніше. По-друге, Мозіла допустила новий баг, а Опера умудрилася погано виправити дірку, тому й пришлося випускати оновлення (бо хакери знайши можливість обходу патча).

    І по-третє, Опера дуже весело виправляла дану XSS - більше двох разів виправляла цю дірку, явно вважаючи її не дуже небезпечною (доки Code Execution експлоіт не з’явився для цієї дірки). Коли з’явився опис XSS в Opera 9.60, то секюріті дослідник заявив, що дірку він знав раніше і Опера її частково виправила, але недостатньо. Потім виправила її в Opera 9.61 і знову недостатньо. Потім в Opera 9.62, сподіваюся цього разу виправила вже остаточно ;-) .

    P.S.

    Коли це Опера стала вільним ПЗ? Як мені відомо (за 2000-2003, коли я нею користувався) Опера не є вільним ПЗ. Вона не опенсорс, а клоседсорс - безкоштовний, але клоседсорс. І безкоштовною вона стала лише із-за конкуренції з IE, Mozilla і FF. Бо я добре пам’ятаю, що в ті роки було дві версії: платна і з банером (і приходилося крекати Оперу, щоб прибрати банер), й лише пізніше Опера стала повністю безкоштовним браузером.

Leave a Reply

You must be logged in to post a comment.