Sinds de lancering van het browserkeuzescherm door Microsoft deze week, is het aantal downloads van de Opera browser verdrievoudigd, maar bestaande en nieuwe gebruikers kregen meteen twee zero-day lekken te verwerken. Het gaat om twee verschillende kwetsbaarheden, die in een Denial of Service en crash resulteren. In het geval van de crash zou het mogelijk zijn om willekeurige code uit te voeren en zo het onderliggende Windows systeem over te nemen.

Volgens Opera is er geen "remote code execution" via het lek mogelijk. "We geloven dat het lek voornamelijk een crash veroorzaakt, en dat het uitvoeren van code via het lek zeer moeilijk, bijna onmogelijk is", zegt woordvoerder Thomas Ford. Het inschakelen van Data Execution Prevention (DEP) in Windows zou het probleem in ieder geval voorkomen.

Wondermiddel
Toch is ook DEP geen wondermiddel, zoals de Nederlandse onderzoeker en Google-medewerker Berend-Jan Wever deze week demonstreerde. Hij publiceerde een exploit voor een inmiddels gepatcht lek waardoor het omzeilen van DEP mogelijk was. Ook andere onderzoekers hebben in het verleden de beveiligingsmaatregel van Windows weten te omzeilen.

Zolang er geen patch voor het lek beschikbaar is, dat alle Windows versies van Opera treft, adviseert het Deense Secunia om geen onbetrouwbare websites te bezoeken of onbetrouwbare links te open.