Update di sicurezza per Opera

La nuova versione del browser norvegese sistema una seria vulnerabilitÓ di sicurezza che interessa le piattaforme Unix/Linux e include una release patchata di Flash Player

Oslo (Norvegia) - Con la nuova versione 8.51 del proprio browser, scaricabile da qui, Opera Software ha corretto un pericoloso bug che affligge le versioni Unix/Linux del programma.

La vulnerabilitÓ, che in questo advisory Secunia ha valutato di pericolositÓ "highly critical", pu˛ consentire ad un cracker di eseguire del codice dannoso sul computer di un utente.

"Lo script di shell che lancia il browser Opera analizza ed esegue comandi di shell racchiusi fra apici inversi", si legge un questo advisory di SecurityTracker.com. "Un utente remoto pu˛ creare un URL fatto in un certo modo che, se cliccato dalla vittima attraverso un'applicazione esterna che utilizza Opera come browser di default (ad esempio un client e-mail), esegue comandi di shell arbitrari con gli stessi privilegi dell'utente locale".
La vulnerabilitÓ Ŕ stata verificata in Opera 7 e 8 per Linux, Solaris e FreeBSD.

L'ultima release del browser norvegese include poi una nuova versione di Flash Player, la 7r61, che sistema una recente falla di sicurezza: gli utenti a rischio sono tutti quelli che utilizzano una versione di Opera compresa fra la 5 e la 8 (esclusa la 8.51).

Dallo scorso settembre Opera Software ha reso il proprio browser completamente gratuito e privo di banner pubblicitari. L'azienda sta ora lavorando alla prossima major release del proprio software, la 9, di cui ha rilasciato un'anteprima pubblica lo scorso ottobre.
TAG: browser
37 Commenti alla Notizia Update di sicurezza per Opera
Ordina
  • ...tutti i software hanno dei bug, non solo quelli sviluppati da Microsoft ma anche quelli open source per Linux, però credo che un vero "linaro" (come dite voi) non riuscirebbe mai ad ammetterlo, per loro Linux = perfezione.
    non+autenticato

  • - Scritto da: Gabryel
    > ...tutti i software hanno dei bug, non solo
    > quelli sviluppati da Microsoft ma anche quelli
    > open source per Linux, però credo che un vero
    > "linaro" (come dite voi) non riuscirebbe mai ad
    > ammetterlo, per loro Linux = perfezione.

    Si, ma se ti spulci http://www.secunia.com , capisci che le 2 situazioni sono leggermente differenti. E io non sono un "linaro".
  • Giusto per dovere di cronaca: Opera è piuttosto closed source, sia su linux che su windows.

    Ciao,
    Matteo

  • - Scritto da: Gabryel
    > ...tutti i software hanno dei bug, non solo
    > quelli sviluppati da Microsoft ma anche quelli
    > open source per Linux, però credo che un vero
    > "linaro" (come dite voi) non riuscirebbe mai ad
    > ammetterlo, per loro Linux = perfezione.

    Opera è un ottimo prodotto..sulla mia Debian gira che è una meraviglia


  • - Scritto da: Gabryel
    > ...tutti i software hanno dei bug, non solo
    > quelli sviluppati da Microsoft ma anche quelli
    > open source per Linux, però credo che un vero
    > "linaro" (come dite voi) non riuscirebbe mai ad
    > ammetterlo, per loro Linux = perfezione.

    Quello che dici è condivisibile, ma Opera non è affatto Open (e a me sta bene così).
    non+autenticato

  • - Scritto da: Gabryel
    > ...tutti i software hanno dei bug, non solo
    > quelli sviluppati da Microsoft ma anche quelli
    > open source per Linux, però credo che un vero
    > "linaro" (come dite voi) non riuscirebbe mai ad
    > ammetterlo, per loro Linux = perfezione.

    Opera, Open Source, Linux?
    Hai imparato delle parole nuove e non vedevi l'ora di utilizzarle tutte assieme in un unico post?

    Allora, Opera non è Open Source.
    Opera non è un prodotto per Linux. Esiste un porting anche per Linux, ma non è esclusivo per Linux (esistono porting di Opera anche per Solaris, OS/2, QNX e anche per i telefonini)
    Opera ha dei bug, come tutti i software e come qualunque opera dell'intelletto umano (che mi sa, da quel poco che ho potuto vedere in appena 28 anni di vita, che è bacato alla radice).
    Linux non è perfetto.
    Microsoft non è lo schifo assoluto.
    L'unica differenza fra questi due prodotti è che uno è Open Source e l'altro no. Uno è stabile e l'altro no. Uno è più sicuro dell'altro. Uno ha bug che di norma vengono corretti nell'arco delle ore, massimo giorni (quelli più gravi), nell'altro restano aperte per mesi (anche le più gravi). Uno è gratuito, l'altro no. Uno puoi decidere se pagarlo o meno, l'altro pure ma non è legale decidere di non pagarlo.
    Ah, un'ultima cosa: Firefox non è Linux, Opera non è Linux, i programmatori open source non sono dei poveri schiavizzati che scrivono codice per un tozzo di pane o anche meno, ma sono dei professionisti che scrivono codice per diletto, o che fanno capo a fondazioni che li pagano per scrivere codice. Scrivere codice Open Source non significa necessariamente doverlo regalare. Puoi anche fartelo pagare. Ognuno è libero di scegliere di soffrire come vuole.
    non+autenticato
  • vale a dire che al male che vada mi cancellano un paio di foto contenute in ~ , dico bene?

    Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > vale a dire che al male che vada mi cancellano un
    > paio di foto contenute in ~ , dico bene?
    >
    > Fan Linux

    Lo usi molto il tuo Fan Linux... comunque possono trasformare il tuo utente in uno zombi, leggere tutto quello che mandi via internet e cosi' via ...
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > vale a dire che al male che vada mi cancellano
    > un
    > > paio di foto contenute in ~ , dico bene?
    > >
    > > Fan Linux
    >
    > Lo usi molto il tuo Fan Linux... comunque possono
    > trasformare il tuo utente in uno zombi, leggere
    > tutto quello che mandi via internet e cosi' via
    > ...
    No, questo è cio che fa abitualmente il tuo PC Winzozz EE (Emule Edition...)
    non+autenticato
  • Beh niente male, falla critica fissata dopo due mesi e solo per la versione in inglese.
    non+autenticato
  • - Scritto da: Anonimo
    > Beh niente male, falla critica fissata dopo due
    > mesi e solo per la versione in inglese.
    Veramente:
    la falla è stata scoperta da poco;
    la falla era critica solo usando determinati plugin;
    se installi la 8.51 in inglese ti va sopra la 8.5 in italiano e quindi ti trovi la 8.51 già in italiano (provato su win e linux);
    e poi, una rondine non fa primavera, nel senso che se andiamo a guardare su Secunia chi è che ha più o meno falle e che ci mette più o meno tempo a patchare Opera risulta il browser mainstream più sicuro.
    non+autenticato

  • > la falla è stata scoperta da poco;

    L'advisory e' stato notificato il 22 settembre la patch e' stata rilasciata il 22 novembre.

    > la falla era critica solo usando determinati
    > plugin;

    No non serve nessun plugin, basta un link che apra opera come default browser.

    > se installi la 8.51 in inglese ti va sopra la 8.5
    > in italiano e quindi ti trovi la 8.51 già in
    > italiano (provato su win e linux);

    Non supportato da loro quindi potenzialmente pericoloso, potresti introdurre nuovi exploit.

    > e poi, una rondine non fa primavera, nel senso
    > che se andiamo a guardare su Secunia chi è che ha
    > più o meno falle e che ci mette più o meno tempo
    > a patchare Opera risulta il browser mainstream
    > più sicuro.

    E' anche quello con meno funzionalita'. E comunque 11 advisories in meno di un anno ...

    non+autenticato
  • > Non supportato da loro quindi potenzialmente
    > pericoloso, potresti introdurre nuovi exploit.
    Hahahahaha LAMER! Exploit portati dal language pack??? Ma lo sai cosa stai dicendo?

    > E' anche quello con meno funzionalita'. E
    > comunque 11 advisories in meno di un anno ...
    Non penso proprio, dato che Opera, guardacaso, fa da browser, da client di posta, messaggistica e newsreader!
    dovremmo confrontarlo allora con i bug di FF+TB o con quelli di IE+OE...

    IE6x http://secunia.com/product/11/
    Extremely critical
    Currently, 21 out of 89 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    PIU'
    Outsuck Express 6x: http://secunia.com/product/102/
    Moderately critical
    Currently, 6 out of 20 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    Totale 27 falle aperte su 109 per navigare e postare

    Firefox1.x http://secunia.com/product/4227/
    Less critical
    Currently, 3 out of 25 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    PIU'
    Thunderbird1.x http://secunia.com/product/4652/
    Not critical
    Currently, 1 out of 7 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    Totale 4 falle aperte su 32 per navigare e postare

    E Opera8x http://secunia.com/product/4932/
    Not critical
    Currently, 1 out of 11 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    Totale, una falla not critical per navigare e postare
    non+autenticato

  • > Hahahahaha LAMER! Exploit portati dal language
    > pack??? Ma lo sai cosa stai dicendo?

    Povero pollo. Sei sicuro che abbia tenuto solo il language pack? O che i componenti nuovi funzionino perfettamente con quelli vecchi? Si vede che sei il solito ragazzino che (forse) ha installato linux e opera perche' e' di moda.

    > E Opera8x http://secunia.com/product/4932/
    > Not critical
    > Currently, 1 out of 11 Secunia advisories, is
    > marked as "Unpatched" in the Secunia database.
    > Totale, una falla not critical per navigare e
    > postare

    Quella critica te l'hanno patchata ieri... dopo averla tenuta segreta per due mesi. Naviga naviga... che chissa di quante falle critiche non sei a conoscenza perche' loro non te le dicono fino a quando non sono risolte.

    non+autenticato

  • - Scritto da: Anonimo
    >
    > Quella critica te l'hanno patchata ieri... dopo
    > averla tenuta segreta per due mesi. Naviga
    > naviga... che chissa di quante falle critiche non
    > sei a conoscenza perche' loro non te le dicono
    > fino a quando non sono risolte.

    A, beh, allora con lo stesso metro posso dire tranquillamente che Windows ha una pericolosissima backdoor, solo che... loro non te lo dicono! Con la lingua fuori
    Se si parla solo per dar fiato alle trombe...
    non+autenticato
  • > Povero pollo. Sei sicuro che abbia tenuto solo il
    > language pack?
    Certo, ho testato il tutto.

    > Quella critica te l'hanno patchata ieri... dopo
    > averla tenuta segreta per due mesi.
    Che mossa furba, dato che chiunque al mondo avrebbe potuto testare l'exploit per mozilla FF su Opera... la realtà dei fatti è che non era stato ipotizzato da nessuno che potesse funzionare anche su opera.
    non+autenticato
  • > Povero pollo. Sei sicuro che abbia tenuto solo il
    > language pack?
    Data ed ora di modifica dei file, questa sconosciuta...
    non+autenticato
  • > L'advisory e' stato notificato il 22 settembre la
    > patch e' stata rilasciata il 22 novembre.
    Fcciamo un po di chiarezza:
    Opera Command Line URL Shell Command Injection    
    Secunia Advisory:    SA16907         
    Release Date:    2005-11-22    
    Last Update:    2005-11-23
    La falla è stata scoperta il 22/11 e patchata il 23/11
    Tale falla è una variante di
    Firefox Command Line URL Shell Command Injection    
    Secunia Advisory:    SA16869         
    Release Date:    2005-09-20    
    Last Update:    2005-09-26
    Che è del 20 settembre ma che la comunità di esperti riteneva limitata a Firefox.

    La comunità di Opera ha commesso l'errore, come tutto il resto della comunità degli esperti di sicurezza, di non testare tale falla sul suo browser, e tra l'altro non aveva alcun motivo specifico per farlo (e infatti per due mesi nessuno l'ha fatto), ma ha rimediato in un giorno.
    non+autenticato
  • Hai fatto proprio chiarezza, vatti un po' a guardare l'original advisory di secunia, quello con la timeline.
    La falla e' stata scoperta il 22/09 e notificata lo stesso giorno al vendor... resa pubblica e risolta il 22/11.

    - Scritto da: Anonimo
    > > L'advisory e' stato notificato il 22 settembre
    > la
    > > patch e' stata rilasciata il 22 novembre.
    > Fcciamo un po di chiarezza:
    > Opera Command Line URL Shell Command Injection    
    > Secunia Advisory:    SA16907         
    > Release Date:    2005-11-22    
    > Last Update:    2005-11-23
    > La falla è stata scoperta il 22/11 e patchata il
    > 23/11
    > Tale falla è una variante di
    > Firefox Command Line URL Shell Command Injection    
    > Secunia Advisory:    SA16869         
    > Release Date:    2005-09-20    
    > Last Update:    2005-09-26
    > Che è del 20 settembre ma che la comunità di
    > esperti riteneva limitata a Firefox.
    >
    > La comunità di Opera ha commesso l'errore, come
    > tutto il resto della comunità degli esperti di
    > sicurezza, di non testare tale falla sul suo
    > browser, e tra l'altro non aveva alcun motivo
    > specifico per farlo (e infatti per due mesi
    > nessuno l'ha fatto), ma ha rimediato in un
    > giorno.
    non+autenticato
  • L'advisory originale riguardava Firefox, p*rletti.

    - Scritto da: Anonimo
    > Hai fatto proprio chiarezza, vatti un po' a
    > guardare l'original advisory di secunia, quello
    > con la timeline.
    > La falla e' stata scoperta il 22/09 e notificata
    > lo stesso giorno al vendor... resa pubblica e
    > risolta il 22/11.
    >
    > - Scritto da: Anonimo
    > > > L'advisory e' stato notificato il 22 settembre
    > > la
    > > > patch e' stata rilasciata il 22 novembre.
    > > Fcciamo un po di chiarezza:
    > > Opera Command Line URL Shell Command Injection    
    > > Secunia Advisory:    SA16907         
    > > Release Date:    2005-11-22    
    > > Last Update:    2005-11-23
    > > La falla è stata scoperta il 22/11 e patchata il
    > > 23/11
    > > Tale falla è una variante di
    > > Firefox Command Line URL Shell Command
    > Injection    
    > > Secunia Advisory:    SA16869         
    > > Release Date:    2005-09-20    
    > > Last Update:    2005-09-26
    > > Che è del 20 settembre ma che la comunità di
    > > esperti riteneva limitata a Firefox.
    > >
    > > La comunità di Opera ha commesso l'errore, come
    > > tutto il resto della comunità degli esperti di
    > > sicurezza, di non testare tale falla sul suo
    > > browser, e tra l'altro non aveva alcun motivo
    > > specifico per farlo (e infatti per due mesi
    > > nessuno l'ha fatto), ma ha rimediato in un
    > > giorno.
    non+autenticato
  • A due giorni dall'apparizione della versione inglese non è ancora apparsa quella italiana.
    Ci dobbiamo ridurre ad usare solamente le versioni inglesi?

    Solo gli anglo-lingui debbono essere tutelati?

    O virus et similia operano solamente con logicali in inglese?

    Arrabbiato

    Ernesto
  • - Scritto da: ErnestoV
    > A due giorni dall'apparizione della versione
    > inglese non è ancora apparsa quella italiana.
    Io avevo opera 8.5 in italiano, ho scaricato ed installato la 8.51 in inglese nello stesso percorso di default (aka, non ho dovuto fare nulla di particolare) e ora ho la 8.51 in italiano, perchè ha mantenuto il language file e non ho ancora trovato un menu che non fosse già stato tradotto nella 8.5!
    Certo, in teoria potrebbero avere aggiunto o modificato delle voci, ma tutto sembra normale e pensare che ci siano molte voci diverse dalla 8.5 alla 8.51 è del tutto illogico, comunque ora sono protetto E ho il browser in italiano, poi quando uscirà la 8.51 in italiano penso che la metterò su comunque.
    non+autenticato
  • Grazie.
    Io avevo installato a suo tempo FF in inglese per non correr rischi.
    Non ho problemi con le lingue, ma molti miei amici sì

    Ernesto

  • - Scritto da: ErnestoV
    > Grazie.
    > Io avevo installato a suo tempo FF in inglese per
    > non correr rischi.
    > Non ho problemi con le lingue, ma molti miei
    > amici sì
    Io sono di recente passato da Firefox+Adblock+Thunderbird ad Opera, è un bel browser anche se ci sono purtroppo ancora siti IE - only (anche con FF comunque dovevo per forza tenermi IE per certi siti), molto più leggero e veloce di FF.
    Con i settaggi ho reso statiche tutte le varie pubblicità e banner, che siano jscript, gif animate popup popunder o flash ora non "flashano" più, il che mi consente una lettura molto migliore delle pagine web.
    Come client di posta è più intuitivo di Thunderbird, oltre che molto più leggero e veloce, ed ho tutto nello stesso software!
    Non c'è che dire, il team di Opera sta facendo veramente un ottimo lavoro e se fino alla versione 7x non mi aveva convinto a lasciare casa Mozilla, ora mi ha convinto!

    Per i tuoi amici, provvisoriamente, ti consiglio di scaricare la 8.5 in italiano e la 8.51 in inglese ed installare come me prima in italiano poi in inglese, sempre nel percorso di default. Tanto Opera si installa in un attimo.
    non+autenticato


  • - Scritto da: ErnestoV
    > A due giorni dall'apparizione della versione
    > inglese non è ancora apparsa quella italiana.
    > Ci dobbiamo ridurre ad usare solamente le
    > versioni inglesi?
    >
    > Solo gli anglo-lingui debbono essere tutelati?
    >
    > O virus et similia operano solamente con logicali
    > in inglese?
    >
    > Arrabbiato
    >
    > Ernesto
    Scaricata da linuxpackages.
    Lanciato upgradepkg.
    Apro Opera e...è ancora in italiano.
    Il tutto in 30 sec. scarsi....
    non+autenticato
  • > Scaricata da linuxpackages.
    > Lanciato upgradepkg.
    > Apro Opera e...è ancora in italiano.
    > Il tutto in 30 sec. scarsi....
    Idem su win installando la 8.51 inglese su una 8.5 localizzata... anche se purtroppo ho trovato solo il modo di scaricare il pacchetto completo della 8.51.
    non+autenticato
  • Ringrazio tutti.
    Opera mi aveva abituato bene. Di norma le localizzazioni sono veloci, come del resto la riparazione delle falle di sicurezza.
    Ho caricato comunque la 8.51 inglese e tutto funziona perfettamente.
    Stessa cosa ho consigliato agli amici.

    Opera ha qualche piccolo problema con siti IE dipendenti, ma rispetto a FF rende sempre al meglio il sito.

    Ernesto


  • - Scritto da: ErnestoV
    > Ringrazio tutti.
    > Opera mi aveva abituato bene. Di norma le
    > localizzazioni sono veloci, come del resto la
    > riparazione delle falle di sicurezza.
    > Ho caricato comunque la 8.51 inglese e tutto
    > funziona perfettamente.
    > Stessa cosa ho consigliato agli amici.
    >
    > Opera ha qualche piccolo problema con siti IE
    > dipendenti, ma rispetto a FF rende sempre al
    > meglio il sito.
    >
    > Ernesto
    Comunque noto che i siti IE dipendenti sono sempre meno.
    In ogni caso, grazie a CrossOver Office, IE funziona benissimo (si fa per dire...) anche sotto Linux, quando occorre....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Comunque noto che i siti IE dipendenti sono
    > sempre meno.
    > In ogni caso, grazie a CrossOver Office, IE
    > funziona benissimo (si fa per dire...) anche
    > sotto Linux, quando occorre....

    Io uso Widows. Fino alla 1.6 FF aveva difficoltà a leggere correttamente anche i mie siti.
    FF 1.7 mi vede meglio Sorride
    Ma è possibile che con il tempo abbia preso delle brutte abitudini.
    Io scrivo ancora tutto a manina...

    Ernesto

  • - Scritto da: ErnestoV
    >
    > - Scritto da: Anonimo
    > >
    > > Comunque noto che i siti IE dipendenti sono
    > > sempre meno.
    > > In ogni caso, grazie a CrossOver Office, IE
    > > funziona benissimo (si fa per dire...) anche
    > > sotto Linux, quando occorre....
    >
    > Io uso Widows. Fino alla 1.6 FF aveva difficoltà
    > a leggere correttamente anche i mie siti.
    > FF 1.7 mi vede meglio Sorride
    > Ma è possibile che con il tempo abbia preso delle
    > brutte abitudini.
    > Io scrivo ancora tutto a manina...
    >
    > Ernesto

    Intanto per non far confusione, immagino intendevi Firefox 1.0.6 & Firefox 1.0.7   e non quelli che dicevi tu...

    Manco opera fosse magico poi..... tzé

    e poi è probabilmente una grossa esagerazione quella delle difficolta a leggere i siti, o forse erano scritti male???Sorride)



    ah, soffro di dipendenza da Firefox+Thunderbir+Sunbird Sorride
    cYa cYa!
    non+autenticato