来自丹麦Secunia的报道,其网站于当地时间12月10日公布了Web浏览器“Opera 7.x”的安全漏洞。如果突破这一安全漏洞,可能会伪装下载文件时显示的对话框,这样以来,带有恶意的网站管理员就可以把危险的执行文件(比如病毒)伪装成安全的文件种类。
Opera对此反映很快,最新版“Opera 7.54u1”已经修正了这一漏洞,此外还修正了除此之外的其他安全漏洞。
Opera 7.x在显示文件的下载对话框时,没有严格检查文件名与HTTP头之一“Content-Type”,造成了此次安全漏洞的出现。因此,如果对从Web服务器向浏览器(Opera)发送的HTTP头信息做手脚,就会在对话框中显示与实际不符的信息,也就是被伪装的信息。
简单来说,带有恶意的网站管理员可以将诸如病毒等的危险执行文件伪装成PDF文件引诱用户打开(执行)。虽然对话框的默认设置为“保存文件(Save)”,但如果伪装成类似PDF文件等打开很安全的文件种类,用户就很可能选择“打开文件(Open)”。
目前对此漏洞的方法是升级到Opera Software公开的最新版Opera 7.54u1,Opera 7.54u1中已经修正了最近公开的多个安全漏洞,比如对Secunia当地时间12月8日公开的《可抢占正规网站弹出窗口的安全漏洞》也进行了修正。
目前Opera 7.54u1公开的只有英语版。由于英语版也可以毫无障碍地显示中文网页,因此建议界面(UI)即使是英语也无所谓的用户升级到英语版Opera 7.54u1。如果继续使用低于最新版的老版本,一定要做好防范措施。
