Non è un periodo tra i più fortunati per Opera Software: il browser Web della casa norvegese negli ultimi tempi sembra scricchiolare, in preda a qualche bug di troppo. Tutto ha inizio con il lancio di Opera 9.60 di inizio ottobre: la nuova release viene presentata come evoluzione del ramo 9.5x, senza dare opportuno risalto a due problemi legati alla sicurezza.

A nemmeno due settimane di distanza, altri tre bug impongono l’aggiornamento all’attuale versione 9.61: è storia recente. Le vulnerabilità riguardano, rispettivamente, la cronologia (una Url appositamente creata può portare all’esposizione di dati sensibili o all’esecuzione di script arbitrari), la funzione di avanzamento veloce (anche in questo caso il rischio è l’esecuzione di script JavaScript) e la visualizzazione in anteprima dei feed (con la possibile sottoscrizione a feed non desiderati).

Ma la correzione alla cronologia si è rivelata parziale: a due giorni dall’aggiornamento, il bug hunter Aviv Raff - lasciato alcuni giorni orsono alle prese con le vulnerabilità dell’iPhone e di un bel po’ di applicazioni Google - ha bussato alla porta di Opera riproponendo il problema, dopo un lavoro d’equipe con i ricercatori Roberto Suggi e Stefano Di Paola.

Anche questa volta, il tab ‘Cronologia’ non convalida in maniera corretta l’input dell’utente, prestando il fianco alla possibile esecuzione di codice. Secondo Raff, un attaccante può creare una pagina Web che apra automaticamente lo storico della navigazione, e sfrutti a proprio vantaggio il bug con un cavallo di Troia o un malware eseguito senza che l’utente se ne accorga.

La conseguenza è obbligata, e porterà a un nuovo aggiornamento. Che Opera prevede di rilasciare “presto, nel giro di pochissimi giorni”: attualmente la futura release 9.62 “è in fase di test prima del rilascio definitivo”. Aviv Raff, come al solito, non si è rivelato molto tenero: “Avrebbero dovuto controllare - ha commentato - altre vulnerabilità nella stessa area funzionale prima di distribuire la versione 9.61. Spero lo faranno per la nuova versione”.