Diversas vulnerabilidades en Opera 7.0

Opera es un navegador web desarrollado por una empresa noruega y destaca por su velocidad y reducido tamaño, sin por ello carecer de las prestaciones disponibles en otros navegadores modernos. Tradicionalmente ha sido un programa que ha tenido los preceptos de seguridad como parte fundamental de su diseño, siendo raras las vulnerabilidades de seguridad que se han documentado.

A principios del presente mes de febrero se anunció la existencia de diversas vulnerabilidades de seguridad que afectaban únicamente la versión 7.0 (todas las versiones anteriores están libres de los problemas descritos). Algunas de estas vulnerabilidades pueden clasificarse como críticas ya que permiten el acceso completo, en modalidad de lectura, al sistema de archivos del usuario de Opera.

Para evitar que mediante JavaScript una página pueda acceder a la información de otro dominio, Opera implementa un modelo de seguridad que debería impedir estos traspases de información.

No obstante, se han descubierto diversas vulnerabilidades en este modelo de seguridad se puede acceder y ejecutar a funciones JavaScript de diferentes dominios; las funciones JavaScript se ejecutan con las credenciales del dominio del usuario y no las correspondientes al dominio de origen; es posible ignorar las propiedades y métodos (tanto nativos como definidos por el usuario) en otras ventanas.

La utilización de estas vulnerabilidades puede permitir, desde una página especialmente formateada, acceder en modalidad de lectura a cualquier archivo existe en la máquina del usuario.