Opera < 11.60 多种漏洞 (BEAST)

high Nessus 插件 ID 57039
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 6.7

简介

远程主机包含受多种漏洞影响的 Web 浏览器。

描述

远程 Windows 主机上安装的 Opera 版本低于 11.60。因此,它受到多种漏洞的影响:

- 存在一个可允许在地址栏中欺骗 URL 的不明错误。(CVE-2011-4010)

- 双字母顶级域(例如“.us”或“.uk”)和某些三字母顶级域不遵循顶级域分隔规则。此错误可允许站点将脚本上下文设定为顶级域。这更进一步可允许站点设定及读取其脚本上下文设定为同样顶级域的其他站点的 Cookie。(CVE-2011-4681)

- JavaScript“in”运算符的实现中存在一个错误,该错误可允许站点验证其他域中的站点的变量存在。
(CVE-2011-4682)

- 存在一个不明中危问题。详细信息将由供应商在以后公布。
(CVE-2011-4683)

- 浏览器未正确处理与证书吊销有关的某些极端情况。(CVE-2011-4684)

- 不明内容可造成浏览器的“Dragonfly”组件崩溃。(CVE-2011-4685)

- 存在一个与“Web 工作线程”实现有关的不明错误,可造成应用程序崩溃。(CVE-2011-4686)

- 存在一个不明错误,该错误可允许远程内容通过资源消耗而造成拒绝服务情况。(CVE-2011-4687)

- 由于在密码块链接 (CBC) 模式下运行时初始化矢量 (IV) 的选择方式中存在缺陷,SSL 3.0 和 TLS 1.0 协议存在被称为 BEAST 的信息泄露漏洞。中间人攻击者可利用此缺陷,通过对 HTTPS 会话进行块式选择边界攻击 (BCBA),并结合使用 HTML5 WebSocket API、Java URLConnection API 或 Silverlight WebClient API 的 JavaScript 代码,获得明文 HTTP 标头数据。(CVE-2011-3389)

解决方案

升级到 Opera 11.60.或更高版本。

另见

http://www.opera.com/support/kb/view/1005/

https://www.imperialviolet.org/2011/09/23/chromeandbeast.html

https://www.openssl.org/~bodo/tls-cbc.txt

http://www.opera.com/support/kb/view/1004/

http://www.opera.com/support/kb/view/1003/

http://netifera.com/research/

http://web.archive.org/web/20170912020716/http://www.opera.com:80/docs/changelogs/windows/1160/

插件详情

严重性: High

ID: 57039

文件名: opera_1160.nasl

版本: 1.22

类型: local

代理: windows

系列: Windows

发布时间: 2011/12/7

最近更新时间: 2018/11/15

依存关系: opera_installed.nasl

风险信息

风险因素: High

VPR 得分: 6.7

CVSS v2.0

基本分数: 9.3

时间分数: 8.1

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: CVSS2#E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:2.3:a:opera:opera_browser:*:*:*:*:*:*:*:*

必需的 KB 项: SMB/Opera/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/12/6

漏洞发布日期: 2011/8/31

参考资料信息

CVE: CVE-2011-3389, CVE-2011-4683, CVE-2011-4684, CVE-2011-4685, CVE-2011-4686, CVE-2011-4687, CVE-2011-4681, CVE-2011-4010, CVE-2011-4682

BID: 49778, 50914, 50915, 50916, 51027, 55345

CERT: 864643