int(232)

Boletines de Vulnerabilidades


Cross-site scripting en Opera

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricant afectat Microsoft
Software afectado Opera < 7.02 (Windows)
Opera 6.x (Linux)

Descripción

Se ha detectado una vulnerabilidad en el navegador Opera cuando este se configura sin "Automatic redirection". Esta no es la configuración por defecto.

La vulnerabilidad viene dada por un error de filtrado en la entrada. Es posible que se produzca un ataque de cross-site scripting cuando un servidor web utiliza un script para redireccionar. Un atacante remoto puede crear un URL especial que cuando sea cargada por el usuario, le permita ejecutar código arbitrario en el contexto de seguridad en que se encuentra.

Solución



Actualización de software
Windows: instale la versión 7.02 o posterior
http://www.opera.com/download/test.dml?step=3&opsys=Windows&lng=en&platform=Windows
Linux: no existe parche todavía. Como medida preventiva se recomienda dejar la configuración por defecto o activar "Automatic redirection".

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

Bugtraq: Opera browser Cross Site Scripting
http://marc.theaimsgroup.com/?l=bugtraq&m=104627485904554&w=2

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2003-02-28
Ministerio de Defensa
CNI
CCN
CCN-CERT