『Opera 7.5』正式版公開、従来版には脆弱性

Web ブラウザ メーカーの一角 Opera Software は12日、『Opera 7.5』のベータテストを終え、正式版を公開した。同日、セキュリティ会社 iDEFENSE が、旧版に存在する脆弱性について、情報を開示した。

問題の脆弱性は、「telnet」の URI 処理に起因する。同脆弱性により、セキュリティの設定次第で、Opera が機能停止しかねない。iDEFENSE は4月7日付けで、Opera Software の担当者に同脆弱性の存在を報告済みだ。

具体的には、一般に「telnet://ホスト名」と記述する telnet URI で、ホスト名の前に「-」が入っていても、Opera が看過してしまうというもの。従って、URI が Windows なら「telnet://-fファイル名」、Linux なら「telnet://-nファイル名」となった場合、Opera の作業ディレクトリで、「ファイル名」に相当するファイルが無ければファイルを作成し、存在すれば該当ファイルを上書きしてしまう。そのため、アプリケーションが機能不全に陥りかねない。Windows なら、Opera をインストールしたディレクトリのファイルが対象で、Linux の場合だと、ユーザーのホームディレクトリのファイルが対象となる。なお Windows の場合、セキュリティの設定次第でファイルの書き込みを禁止できる。

iDEFENSE は、数ある過去のバージョンおよび各プラットフォーム対応版の中で、『Opera 7.23』に同脆弱性が存在することを確認済みだ。さらにその他の旧版についても、同脆弱性が存在する可能性があるとしている。

回避方法としては、Opera の設定画面で、処理するプロトコル一覧の中から、telnet を削除するだけ、と比較的簡単だ。Opera Software は新版で同脆弱性に対応したとしており、より手軽とまで断言はしないが、新版の Opera 7.5 に入れ替えるという手もある。

同社は Opera 7.5 のベータ版を、4月22日に公開した。同版は、Windows/Linux/MacOS/FreeBSD/Solaris という Opera がサポートするすべてのデスクトップ プラットフォームに、初めて同時対応したものだ。正式版も、各プラットフォーム対応版を同時に公開した。

新版のダウンロードサイズは3.5 MB で、IRC 互換のチャット機能や、RSS フィード対応、Eメールのスペルチェック機能など、新機能を盛り込んでいる。従来版と比べ、外観および使用感も一新した。