ノヴム・オペラヌム

• Hardened-PHP Project - PhP Security - Advisory 03/2007
• Opera Charset Inheritance Cross-Site Scripting Vulnerability - Advisories - Secunia

Opera 9.10にXSS脆弱性が発見されたとのこと。

リンクはしませんが、PoCをWindows版のOpera 9.20 Build 8713で試してみてもXSSが再現するため、現状はJavaScriptを無効にする以外に回避方法はないと思われます。

SecuniaにはSolution: Do not browse untrusted sites.と書いてありますが、いったいどうやってtrustedなサイトとuntrustedなサイトを見分けたらいいんでしょうか。

ていうか、This can be exploited to execute arbitrary HTMLと書いてあるんですが、HTMLってexecuteできるんでしょうか。謎。

もっとも、それ以前にiframeでXSSできてもあまり意味がないような気もするんですが、素人考えですかね。

もう一つついでに。

結構前に公開された情報なのですが、Opera 9.10でフィッシング詐欺防止機能が正しく働かない現象が発生していました。

• Opera 9.10 Fraud protection bypass

URIのパスを区切るスラッシュが二つ以上連続した場合にそのURIをスラッシュが一つのものと別のURIだと判断するためフィッシングサイトをそうでないサイトと判断してしまっていた……えー、私の日本語が下手なので分かり難いと思いますが、要するに「http://my.opera.com/Watanabe/」と「http://my.opera.com//Watanabe/」を別の物として扱っていたというわけですね。

しかし、これ、今試すと再現しなくなっていますね。PhishTankの方が対策したのかな?

念のためにもう一度確認してみると、今度はsitecheck.opera.comに繋がらなくなってしまった……。

……まあ、要するに、用心するに越したことはないので、クレジットカードの番号等は安易にホイホイ入力しないようにしましょうという事で。

そんな事、おまえに言われるまでもないって? ごもっとも。