Esta nueva versión corrige las siguientes vulnerabilidades:
* La primera vulnerabilidad (calificada como moderada en nivel de
riesgo) está causada por un error en el manejo de valores de atributos
DOM (Document Object Model) cuando se importa XML a un documento. Se
podría dar la circunstancia de que los valores se saltaran los filtros
de limpieza, lo que podría ser explotado por un atacante remoto para
perpetrar ataques de cross-site scripting si los valores son usados
como contenido del documento.
* Otra vulnerabilidad (calificada como moderada en nivel de riesgo)
está causada por un fallo de diseño al manejar las entradas de archivo
en campos de formularios, y podría ser aprovechada por un atacante
remoto para engañar a un usuario para que subiera archivos arbitrarios
a la red, revelando así información sensible.
* La última vulnerabilidad (calificada como alta en nivel de riesgo)
está causada por un fallo en el manejo de comentarios “a medida”
(custom comments) contenidos en las propiedades de una imagen. Cuando
se muestran las propiedades de la imagen, Opera podría tratar por error
los comentarios como un script, lo que podría ser aprovechado por un
atacante remoto para ejecutar código JavaScript arbitrario en un
contexto de seguridad incorrecto cuando se muestran los comentarios
de una imagen especialmente manipulada.
Opera fue informado del segundo de los problemas por parte del equipo
de Mozilla, puesto que afectaba también a Firefox. Según eWeek, la
vulnerabilidad ha sido objeto de una pequeña controversia entre los
desarrolladores de ambos navegadores, puesto que desde Mozilla se
hicieron públicos los datos técnicos del fallo antes de que Opera
tuviera tiempo de lanzar una actualización para subsanar el error.
En cualquier caso, esta vulnerabilidad está emparentada directamente
con el problema de la función ‘OnKeyDown’ que ya sufría Mozilla Firefox
desde su versión 2.0.0.7 a principios de 2007.
La nueva versión se puede descargar aqui
Via Hispasec
