BUGTRAQ ID: 27901
Opera是一款流行的WEB浏览器,支持多种平台。
Opera Web浏览器的9.26之前版本中存在多个安全漏洞,可能允许恶意用户执行跨站脚本攻击、泄露敏感信息或绕过某些安全限制。
1) 当用户键入文件输入时,脚本可能导致忽略一些键盘动作。如果脚本能够诱骗用户相信正在键入正常的文件输入,而不让用户看到已经忽略了键盘动作,就可能导致输入指向计算机上的文件路径,然后在未经用户交互的情况下上传文件。
2) 图形属性中可能包含有自定义标注。在显示图形属性时,Opera可能将这些标注处理为脚本,导致在错误的安全环境中运行脚本。
3) 在向文档导入XML时,没有正确地向DOM提供其属性值,这可能允许这些值绕过过滤器。如果将这些值用作了文档内容,在某些情况下就可能允许注入脚本。
Opera Software Opera <= 9.25
厂商补丁:
Opera Software
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://www.opera.com/download/index.dml?custom=yes target=_blank>http://www.opera.com/download/index.dml?custom=yes</a>
暂无评论