发布日期：2010-06-21
更新日期：2010-07-12

受影响系统：

Opera Software Opera Web Browser < 10.54

不受影响系统：

Opera Software Opera Web Browser 10.54

描述：

---

BUGTRAQ  ID: 40973
CVE ID: CVE-2010-2666,CVE-2010-2665,CVE-2010-2661,CVE-2010-2660

Opera是一款流行的WEB浏览器，支持多种平台。

Opera的10.54之前版本中存在多个安全漏洞，可能允许攻击者执行跨站脚本、绕过某些安全限制或执行欺骗攻击。

1) Opera没有正确地对widget文件系统访问和目录选择强制权限要求，攻击者可以通过对widget文件的I/O操作创建或修改任意文件。

2) 跨站脚本漏洞允许攻击者通过data: URI注入任意脚本或HTML。

3) Opera没有正确地限制对所要上传文件完整路径名的访问，允许攻击者通过操控DOM获取敏感信息。

4) Opera没有正确地限制在域名中使用同型字符，允许攻击者较容易的伪造IDN域。

<*来源：Opera Software
  
  链接：http://secunia.com/advisories/40250
        http://www.opera.com/docs/changelogs/windows/1054/
*>

建议：

---

厂商补丁：

Opera Software
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.opera.com

浏览次数：2186
严重程度：0（网友投票）