Ekstremt kritisk sikkerhetshull i Opera

"Ekstremt kritisk" sikkerhetshull i Opera

I dag kom nettleseren Opera i ny utgave. Alle anbefales å oppgradere siden det er funnet alvorlige sikkerhetsfeil i eldre versjoner.

Opera lanserte i dag versjon 9.6 av sin nettleser. Og det med god timing. Det er nemlig funnet sårbarheter i de tidligere versjonene, sårbarheter Opera selv har valgt å klassifisere «Extremely severe». Telenors sikkerhetssenter råder derfor alle til å oppgradere til den rykende ferske versjonen.

Ifølge sikkerhetsanalytiker hos Telenor, Jan Roger Wilkens, er den ene feilen en svakhet som er av den mest alvorlige typen. Kort fortalt kan hackere trolig snike inn et program på pc-en din etter å ha fått nettleseren til å krasje.

- Feilen går ut på en lang nettadresse som får nettleseren til å krasje. Det står ikke eksplisitt i Operas forklaring om feilen, men dette tyder på «buffer overflow». Dette betyr igjen at nettleseren muligens vil kunne utføre kode. Så om du går inn på en nettside og klikker på en link til en slik lang adresse, vil nettleseren krasje og for eksempel starte å laste ned ondsinnet programvare, sier han.

Ifølge Wilkens vil et slikt program typisk være en såkalt «downloader», som er den første delen av en trojaner. Det den gjør er å laste ned flere trojanere, og så har du det gående.

Filer tilgjengelig

Den andre feilen er ifølge Wilkens ikke like alvorlig, men like fullt uheldig. Opera klassifiserer den som «Highly severe». Feilen går ut på at javaprogram, som egentlig kun skal kunne få tilgang til filer programmet selv bruker, via et spesielt triks også kan få tilgang til andre filer på datamaskinen.

- Via trikset kan java-appleten komme seg ut av sandkassen til en applet, og da kan den lese lokale filer. I hvert fall de i midlertidig-mappen til nettleseren, men muligens også andre filer utenfor. Alt mulig rart ligger jo i midlertidig-mappen, og programmer kan for eksempel pakke sammen hele mappen og sende til forskjellige parter, sier Wilkens.

På den sikre siden

Heldigvis, sier han, er det ikke alle angripere som gidder å bry seg med feil funnet i Opera. Dette på grunn av den forholdsvis lave markedsandelen nettleseren har i forhold til Internet Explorer og Mozilla Firefox.

- De fleste svakheter i Opera blir sjeldent utnyttet. Den lønner seg ikke for de som lagger slike exploits å rulle dem ut når det er såpass få som bruker nettleseren. Det er Internet Explorer som har flest hull som blir utnyttet, og en del i Firefox, men altså sjeldent i Opera, sier Wilkens, før han avslutter:

- Men det er jo en alvorlig svakhet som nok er enkel å utnytte, så man bør ikke utelukke noe. Jeg vil råde folk til å oppgradere.

- Flere grunner til å oppgradere

- Det var to eksternt rapporterte problemer som gjelder alle tidligere versjoner, men de er nå fikset opp i den nyeste versjonen, versjon 9.6, sier kommunikasjonsdirektør i Opera Tor Odland.

Han forteller at det ellers er en del øvrige nye grep i versjon 9.6.

- Det ene dreier seg om den gode, gamle hastighetskrigen. Vi har gjort forbedringer på motorsiden som gjør det raskere å surfe, sier han.

Odland trekker også frem muligheten for å synkronisere Opera-klienters historikk på forskjellige-maskiner.

- Før kunne du ta med bokmerker, nå kan du også ta med historikken. Så om du surfer Aftenposten.no i Opera hjemme og så plukker frem mobilen på bussen, kan du fortsette der du slapp, sier han.

I tillegg har det kommet en egen funksjon for å merke hvor du scrollet fra, samt flere utbedringer i epost-klienten.