Opera浏览器发现'高危'漏洞

最新推荐文章于 2024-01-19 12:12:22 发布

原创最新推荐文章于 2024-01-19 12:12:22 发布 · 752 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#opera #浏览器 #windows

IT科技专栏收录该内容

21 篇文章

订阅专栏

来源：德胜网

3月9日，据国外媒体报道，安全研究人员发出警报，在Opera网页浏览器中存在一个未打补丁的远程代码执行漏洞。

该漏洞被Secunia评定为“高危”，能够被恶意攻击者利用以完全控制用户的系统。

以下是来自Secunia的警报：

该漏洞是由于当处理HTTP响应时有一个异常“内容长度”头错误造成。这可以被利用通过赋于一个高于32位部分的过大的64位“内容长度”值，造成基于堆的缓冲区溢出的负面影响。

该漏洞在Windows 10.50已被确认。其它版本也可能受到影响。

在没有打补丁的情况下，Opera用户应避免浏览不信任的网站或使用其他浏览器。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

deshn

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞（附poc）

gjgj的博客

04-21

7961

漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞一、基本信息 CVE编号：CNVD-2021-27989 危险等级：严重漏洞类型：远程代码执行漏洞漏洞影响范围：Google Chrome < = 89.0.4389.114。利用条件：Chrome: <=89.0.4389.114，开启--no-sandbox 无沙盒模式二、漏洞描述攻击者利用此漏洞，构造一个恶意的web页面，用户访问该页面时，会造成远程代码执行。 Chr...

朝鲜黑客扔出了【榴莲】，全新Golang恶意软件横行；紧急！Chrome新0day漏洞已遭黑客利用；恶意Python包伪装成Requests库分支 | 安全周报0517

最新发布

weixin_55163056的博客

05-17

1328

朝鲜黑客部署了一种新型Golang恶意软件“榴莲”，针对两家韩国加密货币公司进行网络攻击。谷歌在Android 15中推出新功能，保护用户免受诈骗和恶意应用的侵害，第三方开发者可利用Play Integrity API保护应用。Cacti框架存在严重安全漏洞，可能让攻击者执行恶意代码，维护者已解决十几个漏洞。谷歌发布紧急修复程序，解决Chrome浏览器中的新零日漏洞CVE-2024-4761，该漏洞已在野外被积极利用。网络安全研究人员发现恶意Python包

参与评论您还未登录，请先登录后发表或查看评论

TLS/SSL漏洞分析与检测

nzw1134864657的博客

07-07

4400

1.5.1 Export 加密算法 Export是一种老旧的弱加密算法，是被美国法律标示为可出口的加密算法，其限制对称加密最大强度位数为40位，限制密钥交换强度为最大512位。 1.5.2 Downgrade（降级攻击）降级攻击是一种对计算机系统或者通信协议的攻击，在降级攻击中，攻击者故意使系统放弃新式、安全性高的工作方式，反而使用为向下兼容而准备的老式、安全性差的工作方式，降级攻击常被用于中间人攻击，讲加密的通信协议安全性大幅削弱，得以进行原本不可能做到的攻击。在现代的回退防御中，使用单独的信号套

WEB漏洞检测项.xlsx

01-16

在渗透测试工作中，整理出来web渗透检测项，分别从注入漏洞、XSS、安全配置错误、登录认证缺陷、敏感信息泄露、权限控制不严格、跨站请求伪造、存在漏洞的组件、其他类型漏洞、其他漏洞、已公开高位漏洞等部分，对检测项依次做漏洞类型分析，测试要点。

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC

08-10

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC CVE-2022-33891 影响版本 Apache spark version<3.0.3 3.1.1<Apache spark 版本<3.1.2 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本，参考官网链接： https://spark.apache.org/downloads.html 2.安全设备路径添加黑名单或者增加WAF规则（临时方案）。

Opera发现最新版本也难免的安全漏洞(图)

07-30

736

Opera中不断发现此类安全漏洞。其开发商挪威Opera Software因此发布了修正版加以防范，如7月20日发布的Opera 7.53 for Windows（英文）中就已经修正了7月8日公开的安全漏洞（英文）。然而，此次公开的安全漏洞就连最新版的Opera 7.53也难以幸免。安全漏洞是由bitlance winter发现的，截止到目前为止，bitlance winter已经发现了若干个

Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件

w3cschools的博客

01-19

702

该页面本身看起来与当前生产中的页面非常相似，但背后发生了一些变化：它不仅缺少 [内容安全策略] 元标记，而且还包含一个调用 JavaScript 文件的脚本标记，而无需任何内容完整性检查，”该公司表示。然后，攻击链铰接起来，创建一个特制的扩展，伪装成移动设备与受害者的计算机配对，并通过修改后的 JavaScript 文件将加密的恶意负载传输到主机，以便通过提示用户单击屏幕上的任意位置来执行后续操作。例如，建议禁用专用生产域上的第三方扩展权限，类似于 Chrome 的网络商店，但 Opera 尚未实施。

BeefDetector：Chrome浏览器BeEF攻击检测扩展

由于 Chromium 系列浏览器（包括 Edge、Opera 等）共享相同的基础架构，该扩展的技术方案理论上也可迁移至其他基于 Chromium 的浏览器中使用。综上所述，beefdetector 不仅是一个具体的技术实现，更是对浏览器端...

世界观安全

hacckjacking

08-06

835

「第二篇」客户端脚本安全批注 [……] 表示他人、自己、网络批注参考资料来源于 * 书中批注 * 优快云 * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...

【面试宝典】软件测试工程师2021烫手精华版（第四章web测试篇）

公众号已改名为-程序员阿沐

03-15

863

（第四章web测试篇）

MS12-020（CVE-2012-0002） Exploit 3389远程溢出漏洞代码

03-09

MS12-020（CVE-2012-0002） Exploit 3389远程溢出漏洞代码

五、TLS/SSL协议——数据安全与完整的保镖

weixin_38371073的博客

01-24

2365

0. 前语在上一节中，我们着重学习了TCP协议。TCP协议是一种点对点的面向连接的传输层。但是TCP协议中并没有安全方面的保障。在原始的TCP协议中，假设A发送"hello"到B。这个过程中，可能面临着以下的问题：窃听："hello"被攻击者C窃听篡改："hello"被攻击者C修改为"f**k"发送给B 冒充：C假装是A向B发送消息正常情况 A—["hello"]—>B /* [窃听] */

配置HTTPS服务器

Unicorn_520的专栏

07-11

1838

配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置： server { listen 443; server_name www.nginx.com; ssl on; ssl_certificate www.nginx.co

微软安全新闻聚焦 - 双周刊第六期

blogfeifei

10-25

167

Biweekly Spotlights ==== 2011．10. 11 – 2011. 10. 24 第6 期 ==== 微软10月发布8个安全补丁 2011 年 10 月 12 日微软于北京时间10月12日清晨发布8个安全补丁，其中2个最高级别为严重等级，6个为重要等级，共计修复 Windows、IE、.NET Framework 等产品中的23个安全漏洞。其中 MS11-07...

漏洞利用四：3389端口漏洞利用

热门推荐

ZY95001的博客

09-04

1万+

一、MS12-020 二、CVE-2019-0708

主机高危热门漏洞

本博客，博文仅代表个人操作经验，不能完全解决你的问题，仅供参考，佛系回复。

09-08

2066

远程桌面漏洞 2019.5.4 危险等级：高危危险表现：未经用户授权情况下，植入恶意文件，计算机被“完全控制” 影响范围：绝大部分Windows操作系统官方介绍： CVE-2019-0708、 CVE-2019-1181、 CVE-2019-1182 漏洞信息：俗称3389服务存在严重安全漏洞。此漏洞利用预身份验证，无需用户授权，成功利用此漏洞的攻击者可以在受害主机上执行恶意攻击行为，包括安装后门，查看、篡改隐私数据，创建拥有完全用户权限的新账户。华硕更新漏洞 2019.3.2 危险等级：严重危险表

Https及其原理

xu_ya_fei的专栏

02-10

828

https 分享一这次分享的主要内容: 1.对 nginx 服务器进行了配置使它可以接受 https 的访问。 2.演示通过浏览器和程序以 https 的方式来访问前面配置好的 nginx 服务器。 3.演示程序以 https 的方式来访问前面配置好的 nginx 服务器上指定路径下的 lua 程序,并执行这个程序后返回结果。这样的话,咱们的一些涉及到敏感数据的 api 就可以

Web 安全之 HTTPS 加解密的基本过程和中间人攻击

qq_43510829的博客

05-31

501

牵涉大量信息安全的知识，想真正理解该过程有必要了解下小知识：HTTP 的默认端口为80，HTTPS 的默认端口为443；HTTPS = HTTP + TLS 基本加密流程客户端和服务器同意使用 TLS 协议时，通过握手创建安全连接客户端和服务器协商支持的 TLS 版本，和支持的加密方式基于非对称密钥的身份人认证服务端将公钥以证书的形式发送给前端，证书包含服务端的公钥、证书颁发机构、证书有效期、服务端域名等信息客户端接收后，会选择是否信任证书，这里是否信任可依据域名、颁发机构、有效期.

针对SSL的中间人攻击

flyten

10-20

1111

1 中间人攻击概述中间人攻击（Man-in-the-Middle Attack, MITM）是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。随着计算机通信网技术的不断发展，MITM攻击也越来越