Et sikkerhedshul i webbrowseren Opera kan give uvedkommende adgang til en hvilken som helst fil på harddisken. Det skriver GreyMagic Software i en sikkerhedsmeddelelse udsendt i går mandag. For at eliminere sårbarheden anbefales det, at man henter den nyeste version af Opera, hvor fejlen er rettet.
Sårbarhed er opstået i forbindelse med den mulighed, der er indbygget i HTTP-protokollen, der bruges af webbrowsere, for at overføre filer til eksempelvis en webbaseret e-mail-tjeneste.
I de fleste browsere er det ikke muligt at angive en parameter for den HTML-kode, der bruges, når man skal overføre en fil. Derfor vil det normalt kun være brugeren selv, der kan vælge, hvilken fil, der skal overføres. Men i Opera er det muligt at angive denne parameter, dog vil der normalt komme en dialogboks med en advarsel frem og spørge brugeren, om han virkelig ønsker at overføre den valgte fil.
Ved at indsætte et linieskift inde i selve koden kan man imidlertid narre Opera til at tro, at der ikke er angivet nogen fil, og dialogboksen vil ikke komme frem. Men kommandoen om at overføre filen vil stadig blive udført.
Fejlen blev opdaget første gang 7. maj og er som sagt rettet i den nyeste udgave af Opera.
Relevant link:
Opera 6.03