| Opera存在下载对话框漏洞 恶意代码可伪装下载 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
丹麦Secunia当地时间12月10日公布了Web浏览器“Opera 7.x”的安全漏洞(英文)。如果突破这一安全漏洞,可能会伪装下载文件时显示的对话框,这样以来,带有恶意的网站管理员就可以把危险的执行文件(比如病毒)伪装成安全的文件种类。
最新版“Opera 7.54u1”(英文)已经修正了这一漏洞,此外还修正了除此之外的其他安全漏洞(英文)。
Opera 7.x在显示文件的下载对话框时,没有严格检查文件名与HTTP头之一“Content-Type”,造成了此次安全漏洞的出现。因此,如果对从Web服务器向浏览器(Opera)发送的HTTP头信息做手脚,就会在对话框中显示与实际不符的信息,也就是被伪装的信息。
具体而言,带有恶意的网站管理员可以将诸如病毒等的危险执行文件伪装成PDF文件引诱用户打开(执行)。虽然对话框的默认设置为“保存文件(Save)”,但如果伪装成类似PDF文件等打开很安全的文件种类,用户就很可能选择“打开文件(Open)”。
对策是升级到挪威Opera Software公开的最新版Opera 7.54u1,Opera 7.54u1中已经修正了最近公开的多个安全漏洞(英文),比如对Secunia当地时间12月8日公开(英文)的《可抢占正规网站弹出窗口的安全漏洞》也进行了修正。
目前Opera 7.54u1公开的只有英语版,还没有日语版。由于英语版也可以毫无障碍地显示日语网页,因此建议界面(UI)即使是英语也无所谓的用户升级到英语版Opera 7.54u1。如果继续使用低于最新版的老版本,一定要做好以下防范措施:“不要从不可靠的网页下载文件”、“即使是打开也不会出现问题的文件种类,也务必选择‘保存文件’”。
慧聪网  |
|
| 上一篇文章: Winamp 5.07远程拒绝服务漏洞 |
| 下一篇文章: Adobe Reader 6.0 .ETD文件格式串漏洞 |
|
|
|
|
