Erhebliche Sicherheitslücken bei Opera 24 ff

Ankündigungen, Anregungen, Informationen Rund um Opera
Antworten
Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Verzögerte Sicherheitsupdates bei Opera

Beitrag von GwenDragon » 08.10.2014, 16:58

Was mich nervt ist das langsame Bugfixen bei Sicherheit mit ChrOpera STABLE.

Wenn bei Chrome/Chromium was gefixt wird, dauert es Tage bis zu über 1 Woche, bis Opera STABLE auf die nächste Chrome-Version kommt.
ich finde, wenn Chrome einen Sicherheitsfix bekommt, muss Opera den auch am selben Tag releasen, sonst rennt man mit Opera genau in die Sicherheitsfallen/-lücken, die für alte Chromes aufgestellt wurden.

Tante Google

Verzögerte Sicherheitsupdates bei Opera

Beitrag von Tante Google » 08.10.2014, 16:58


Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Erhebliche Sicherheitslücken bei Opera 24 ff

Beitrag von GwenDragon » 09.10.2014, 11:26

Ich finde die derzeit existenten Lücken in Opera Stable erheblich. Das sind keine harmlosen Bugs!
Auf Grund von Fehlern in V8 (dem Javascript von Chromium und Opera) ist es möglich, dass Code eingeschleust/ausgeführt werden kann.

Wie zu lesen am 7.10.2014 auf http://googlechromereleases.blogspot.de ... pdate.html sollte auf ein Update auf 38.0.2125.101 geschehen
Die Stable ist derzeit Chrome/37 laut Browserkennung
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.122 Safari/537.36 OPR/24.0.1558.64 (Edition FCD)
Die Opera Stable 24 ist also unsicher.

Wenn man sieht, dass dort Bugs existieren für die Google große Summen ausgelobt hat, weiß man wie unsicher die letzte Chromium 37 und damit auch Opera 24 ist!
lest mal die Bugliste mit den $.... davor!

Nach zwei Tagen kein Sicherheitsupdate seitens Opera?
Das ist ein Megafail!


Crosspost: https://forums.opera.com/discussion/185 ... -stable-24
Zuletzt geändert von GwenDragon am 09.10.2014, 11:26, insgesamt 2-mal geändert.
Grund: Titel ergänzt

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Erhebliche Sicherheitslücken bei Opera 24.0.1558.64 Stab

Beitrag von GwenDragon » 15.10.2014, 15:23

8 Tage bis zum Update auf eine Chromium/28, also Opera 25 Stable
Ziemlich lang für Operas Reaktion auf Sicherheitslöcher.

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Sicherheitslücken SSL3 + Opera 25

Beitrag von GwenDragon » 15.10.2014, 20:28

Offtopic: Auch wenn ich den Thread jetzt verwende, um weiter Sicherheitsbashing zu betreiben.

Ich hoffe, dass Opera 25 einen schnellen Patch bekommt, denn es kann SSL3 verwenden, ein unsicheres Protokoll. Google sei Dank!
Denn unsicheres SSL, das ist des Pudels Kern.
Wenn aus irgendeinem Grund nämlich die Verbindung Probleme hat, fällt Opera auf das nächst niedrigere Protokoll zurück und landet dann bei SSL3.
http://www.heise.de/newsticker/meldung/ ... 24327.html

Testet es einfach mit eurem Opera auf https://www.poodletest.com/

Ein Zwischenfix ist es Opera grundsätzlich mit zusätzlichem Parameter --ssl-version-min=tls1 über eine Desktopverknüpfung zu starten.

TLS ist schon 10 Jahre bekannt. Es gibt keinen Grund, ein uraltes Protokoll SSL3 für sichere Verbindungen aktiviert zu haben, das unsicher ist.
Moderne Server und damit Webseiten/Portale können das sichere TLS.

Benutzeravatar
Uwe_G
Poweruser
Poweruser
Beiträge: 612
Registriert: 26.02.2014, 18:04
Geschlecht:

Re: Erhebliche Sicherheitslücken bei Opera 24 ff

Beitrag von Uwe_G » 16.10.2014, 09:58

Danke für den Hinweis.
Die Parameter kann man übrigens auch in der Taskleiste anwenden. Muss man nicht extra eine zusätzliche Desktopverknüpfung erstellen.
Na mal sehen, wie schnell Opera reagiert. Die müssen doch erst das Okay von Google abwarten. ;)

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Erhebliche Sicherheitslücken bei Opera 24 ff

Beitrag von GwenDragon » 17.10.2014, 10:48

Ein bisschen haben sie in Opera 25 rumgemurkst. Siehe http://blogs.opera.com/security/2014/10 ... e-attacks/

Aber nicht SSL3 abgeschaltet!
First option is to simply turn off SSLv3 support in the browser. This is what we will do in a relatively short time, but not right away as there are still some SSLv3 servers out there, and we’ll give them a final chance to update.
Ob Opera 25 wirklich damit sicher ist, weiß ich nicht. Jedenfalls bis zum nächsten SSL3-Bug.

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Erhebliche Sicherheitslücken bei Opera 24 ff

Beitrag von GwenDragon » 23.01.2015, 10:52

Und wieder hat es Opera ASA geschafft, ein Sicherheitsupdate zu verpassen. Seit 21.1.2015 existiert für Chrom(ium) ein Sicherheitsupdate.
Alle Chromium-Versionen 40.0.2214.91 udn älter sind unsicher.
Damit auch Opera 26 Stable und 27 BETA!

Selbst das Bürger CERT warnt: https://www.buerger-cert.de/archive?typ ... W-T15-0005

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6755
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Erhebliche Sicherheitslücken bei Opera 24 ff

Beitrag von GwenDragon » 27.01.2015, 10:43

Neue Stable 27 und endlich eine sichere Chromium-Version.

Trotzdem sind 4 Tage zu langsam!

Antworten