El fabricante noruego confirma que su navegador Opera tiene un agujero de seguridad crítico y que está trabajando en un parche, aunque no ha querido determinar una fecha para la disponibilidad del mismo.

El agujero, que el fabricante de seguridad Secunia califica como “altamente crítico” (la segunda mayor calificación en términos de seguridad en una escala de cinco), puede ser aprovechado por los atacantes para corromper la memoria, romper el navegador y ejecutar códigos de ataques. Según esta investigación, el agujero afecta a Opera 10, incluyendo la última de sus versiones, Opera 10.50, que se lanzó la semana pasada.

La primera respuesta de Opera es que no se trata de un problema de seguridad porque los atacantes sólo podrían romper el navegador pero no tener el control del PC. Sin embargo, tras conocer más a fondo el problema, Opera reconocía que el agujero sí podría ser aprovechado para males mayores. “En un entorno de 64 bits sólo se rompería el navegador, pero en uno de 32 bits… se podría utilizar para mover la memoria de una localización a otra”, explica Thomas Ford, portavoz de Opera.

No obstante, Ford ha rebajado el nivel de amenaza asegurando que prácticamente ningún agujero es lo suficientemente crítico como para suponer una amenaza a los usuarios. “Hay mucha dependencia de los datos utilizados en una aplicación como Opera”. Además, sólo las versiones Windows del navegador Opera tienen esta vulnerabilidad.

En cualquier caso, y hasta que se lance “lo antes posible” el parche, los usuarios pueden protegerse asegurando que están habilitadas la prevención de ejecución de datos (DEP, por sus siglas en inglés) y el ASLR (address space layout randomization). Microsoft inauguró DEP en 2004 con Windows XP Service Pack 2 e inició el uso de ASLR en Windows Vista, a principios de 2007. Windows 7 tiene ambos mecanismos de seguridad.