Pozor na novou zranitelnost v prohlížeči Opera

Podle serveru The Hacker News problém souvisí s vestavěnou funkcí prohlížeče My Flaw, která je součástí rozšíření Opera Touch Background a nebyla odstraněna. My Flaw umožňuje uživatelům dělat si poznámky a sdílet soubory mezi prohlížeči na stolních počítačích a mobilních zařízeních.

Toto je známá funkce, protože moderní vývojáři softwaru často poskytují nástroje pro rychlou výměnu dat mezi počítači a mobilními zařízeními, ale v případě Opery je to na úkor bezpečnosti.

Guardio Labs uvádí, že rozhraní My Flaw funguje jako chat pro sdílení souborů a nabízí funkci „Otevřít“ pro jakoukoli zprávu s přílohou, což znamená, že soubory lze spustit přímo z webového rozhraní. Výsledkem je webový kontext, který může interagovat se systémovými API a spouštět soubory ze souborového systému mimo prohlížeč bez sandboxu nebo omezení.

Kromě toho lze s My Flaw propojit webové stránky a rozšíření. To znamená, že útočník by mohl vytvořit škodlivé rozšíření, které zosobňuje mobilní zařízení, ke kterému je počítač oběti připojen. Poté by mohl pomocí JavaScriptu doručit škodlivý soubor, který by se spustil po kliknutí kamkoli na obrazovku.

Vývojáři Opery byli o zranitelnosti v My Flaw informováni 17. listopadu loňského roku a zranitelnost byla opravena 22. listopadu.