Oslo (Norvegia) – L’ultima versione del noto browser Web sviluppato dalla norvegese Opera Software, la 7.0 , contiene cinque vulnerabilità di sicurezza, fra cui alcune di grave entità.
Le cinque falle sono state descritte dalla società di sicurezza GreyMagic in altrettanti advisory rilasciati sul proprio sito Web. Le vulnerabilità classificate ad alto rischio sono tre e permettono, secondo GreyMagic, “il pieno accesso in lettura al file system dell’utente, inclusa la capacità di visualizzare il contenuto delle cartelle, leggere file e accedere alle e-mail”.
Tutte le falle più importanti sono relative al modello di sicurezza cross-domain adottato di default da Opera 7, un sistema che, secondo GreyMagic, risulta “inadeguato” e rende possibile, per gli aggressori, sfruttare alcune brecce per accedere ai file locali e infettare il sistema.
Una falla, in particolare, è considerata “devastante” perché potrebbe essere sfruttata da un aggressore per installare cavalli di Troia sul computer della vittima.
“Queste tre falle, combinate, rendono assai semplice (per un aggressore, NdR) sfruttare qualsiasi documento che usa degli script, incluse le risorse locali del tipo file:// , per avere accesso all’hard disk dell’utente”.
Opera Software ha già annunciato il rilascio, in giornata, di una nuova versione di Opera 7 che dovrebbe risolvere tutte le vulnerabilità scoperte da GreyMagic.
Nel frattempo la società norvegese ha rilasciato, insieme a IBM, il “Multimodal Browser and Toolkit”, un software che permetterà agli sviluppatori di costruire applicazioni “multimodal” basate sulla raccomandazione del W3C chiamata “XHTML+Voice (X+V)”. Questo standard definisce un’interfaccia ad alto livello per la navigazione delle pagine Web attraverso la voce (telefono) e altre forme d’interazione, come keypad e penne.
La tecnologia multimodal rappresenta uno standard unificato per la telefonia, le applicazioni di sintesi vocali, le interfacce grafiche e altre forme d’interazione disponibili per una vasta gamma di dispositivi, dai PC ai PDA.
Il kit rilasciato da Opera Software permetterà alla versione 7 del proprio browser di visualizzare le pagine scritte nel markup language di X+V.