Erhebliche Sicherheitslücken bei Opera 24 ff

[GwenDragon]

Was mich nervt ist das langsame Bugfixen bei Sicherheit mit ChrOpera STABLE.

Wenn bei Chrome/Chromium was gefixt wird, dauert es Tage bis zu über 1 Woche, bis Opera STABLE auf die nächste Chrome-Version kommt.
ich finde, wenn Chrome einen Sicherheitsfix bekommt, muss Opera den auch am selben Tag releasen, sonst rennt man mit Opera genau in die Sicherheitsfallen/-lücken, die für alte Chromes aufgestellt wurden.

[Tante Google]

[GwenDragon]

Ich finde die derzeit existenten Lücken in Opera Stable erheblich. Das sind keine harmlosen Bugs!
Auf Grund von Fehlern in V8 (dem Javascript von Chromium und Opera) ist es möglich, dass Code eingeschleust/ausgeführt werden kann.

Wie zu lesen am 7.10.2014 auf http://googlechromereleases.blogspot.de ... pdate.html sollte auf ein Update auf 38.0.2125.101 geschehen
Die Stable ist derzeit Chrome/37 laut Browserkennung
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.122 Safari/537.36 OPR/24.0.1558.64 (Edition FCD)
Die Opera Stable 24 ist also unsicher.

Wenn man sieht, dass dort Bugs existieren für die Google große Summen ausgelobt hat, weiß man wie unsicher die letzte Chromium 37 und damit auch Opera 24 ist!
lest mal die Bugliste mit den $.... davor!

Nach zwei Tagen kein Sicherheitsupdate seitens Opera?
Das ist ein Megafail!


Crosspost: https://forums.opera.com/discussion/185 ... -stable-24

[GwenDragon]

8 Tage bis zum Update auf eine Chromium/28, also Opera 25 Stable
Ziemlich lang für Operas Reaktion auf Sicherheitslöcher.

[GwenDragon]

Offtopic: Auch wenn ich den Thread jetzt verwende, um weiter Sicherheitsbashing zu betreiben.

Ich hoffe, dass Opera 25 einen schnellen Patch bekommt, denn es kann SSL3 verwenden, ein unsicheres Protokoll. Google sei Dank!
Denn unsicheres SSL, das ist des Pudels Kern.
Wenn aus irgendeinem Grund nämlich die Verbindung Probleme hat, fällt Opera auf das nächst niedrigere Protokoll zurück und landet dann bei SSL3.
http://www.heise.de/newsticker/meldung/ ... 24327.html

Testet es einfach mit eurem Opera auf https://www.poodletest.com/

Ein Zwischenfix ist es Opera grundsätzlich mit zusätzlichem Parameter --ssl-version-min=tls1 über eine Desktopverknüpfung zu starten.

TLS ist schon 10 Jahre bekannt. Es gibt keinen Grund, ein uraltes Protokoll SSL3 für sichere Verbindungen aktiviert zu haben, das unsicher ist.
Moderne Server und damit Webseiten/Portale können das sichere TLS.

[Uwe_G]

Danke für den Hinweis.
Die Parameter kann man übrigens auch in der Taskleiste anwenden. Muss man nicht extra eine zusätzliche Desktopverknüpfung erstellen.
Na mal sehen, wie schnell Opera reagiert. Die müssen doch erst das Okay von Google abwarten.

[GwenDragon]

Ein bisschen haben sie in Opera 25 rumgemurkst. Siehe http://blogs.opera.com/security/2014/10 ... e-attacks/

Aber nicht SSL3 abgeschaltet!

First option is to simply turn off SSLv3 support in the browser. This is what we will do in a relatively short time, but not right away as there are still some SSLv3 servers out there, and we’ll give them a final chance to update.

Ob Opera 25 wirklich damit sicher ist, weiß ich nicht. Jedenfalls bis zum nächsten SSL3-Bug.

[GwenDragon]

Und wieder hat es Opera ASA geschafft, ein Sicherheitsupdate zu verpassen. Seit 21.1.2015 existiert für Chrom(ium) ein Sicherheitsupdate.
Alle Chromium-Versionen 40.0.2214.91 udn älter sind unsicher.
Damit auch Opera 26 Stable und 27 BETA!

Selbst das Bürger CERT warnt: https://www.buerger-cert.de/archive?typ ... W-T15-0005

[GwenDragon]

Neue Stable 27 und endlich eine sichere Chromium-Version.

Trotzdem sind 4 Tage zu langsam!