ノルウェーOpera Softwareは現地時間9月20日,Opera 8.02以前(8.02を含む)に複数のセキュリティ・ホールが見つかったことを明らかにした。同時に,セキュリティ・ホールを修正した最新版Opera 8.50を公開した。Opera 8.50からは無償版でもブラウザ上部に広告が表示されない(関連記事)。
Opera 8.50で修正されたセキュリティ・ホールは以下のとおり。
- Operaのメール機能(メール・クライアント)に関するセキュリティ・ホール。Operaのメール・クライアントは,ユーザーのキャッシュ・ディレクトリに保存された添付ファイルを警告なしで開く。このとき,ファイルに仕込まれた任意のJavaScriptを「file://」のコンテキストで実行する
- Operaのメール・クライアントに関するセキュリティ・ホール。Operaのメール・クライアントは,添付ファイルの拡張子をきちんとチェックしない。このため,例えばHTMLファイルを画像(JPEG)ファイルに見せかけることができる
- Operaのドラッグ・アンド・ドロップ機能に関するセキュリティ・ホール。これにより,意図しないファイルをアップロードしてしまう可能性がある
- キャッシュに保存されたHTTPSページを再検証しないセキュリティ・ホール
- cookieのコメントのエンコーディングに関するセキュリティ・ホール
Opera 8.50は同社サイトからダウンロードできる。日本語版については,現時点ではWindows版のみ公開している。
◎参考資料
◆Opera 8.50 for Windows Changelog(Opera Software)
◆Opera 8.50 for Linux Changelog(Opera Software)
◆Opera Mail Client Attachment Spoofing and Script Insertion(Secunia)
◆Opera for Windows Security Update Fixes Multiple Vulnerabilities(FrSIRT)