ブラウザのセキュリティ・ホールを複数発見している,イスラエルGreyMagic Softwareは5月27日,Operaにパソコン内のファイルを読み取られるセキュリティ・ホールがあることを公表した。影響を受けるのは,Windows版のバージョン6.01ならびに6.02。Windows版の6.0以前ならびにWindows版以外は影響を受けない。
セキュリティ・ホールを修正したバージョン6.03の英語版は,開発元のノルウェーOpera Softwareから同日公開されたが,英語版以外は公開されていない。なお,Opera Softwareや国内代理店であるトランスウエアのサイトには,今回のセキュリティ・ホールに関する情報は記載されていない。
今回のセキュリティ・ホールを突くように“細工”が施されたサイトをOperaで閲覧すると,ユーザーのパソコン内のファイルを読み出される――実際には,勝手にアップロードしてしまう――恐れがある。
JavaScriptを無効にすれば,自動的に読み出されることは避けられるが,ユーザーがWebページ製作者にだまされて「Submit」ボタンを押すなどのアクションを起こせば,同様に読み出されてしまう。つまり,5月15日に公開されたセキュリティ・ホールとは異なり,JavaScriptを無効にしていても読み出される可能性がある(関連記事)。
ベンダーの対応状況は5月15日のセキュリティ・ホールに対するものと全く同じである。セキュリティ・ホールの公開とともに,修正した英語版が Opera Software から公開されたものの,同社からは何のアナウンスもない。トランスウエアのサイトにも情報は掲載されておらず,依然バージョン6.01を公開している。すぐに日本語版 6.03 を用意することは難しいかもしれないが,せめてセキュリティ・ホール情報については,ユーザーに周知させてほしい。セキュリティ・ホールが見つかったことよりも,知らせないことのほうが問題なのだ。
◎参考資料
◆GreyMagic Security Advisory GM#001-OP「Reading ANY local file in Opera」(イスラエルGreyMagic Software)
◆Download Opera(英語版6.03を公開するページ,ノルウェーOpera Software)
