Προσοχή σε νέα ευπάθεια στο πρόγραμμα περιήγησης Opera

Σύμφωνα με το The Hacker News , το πρόβλημα σχετίζεται με την ενσωματωμένη λειτουργία My Flaw του προγράμματος περιήγησης, η οποία αποτελεί μέρος της επέκτασης Opera Touch Background και δεν έχει καταργηθεί. Το My Flaw επιτρέπει στους χρήστες να κρατούν σημειώσεις και να μοιράζονται αρχεία μεταξύ προγραμμάτων περιήγησης για υπολογιστές και κινητά.

Αυτό είναι ένα οικείο χαρακτηριστικό, καθώς οι σύγχρονοι προγραμματιστές λογισμικού συχνά παρέχουν εργαλεία για την γρήγορη ανταλλαγή δεδομένων μεταξύ υπολογιστών και κινητών συσκευών, αλλά στην περίπτωση της Opera, αυτό έχει κόστος για την ασφάλεια.

Η Guardio Labs αναφέρει ότι η διεπαφή του My Flaw λειτουργεί σαν συνομιλία για κοινή χρήση αρχείων, παρέχοντας μια λειτουργία "Άνοιγμα" για οποιοδήποτε μήνυμα με συνημμένο, που σημαίνει ότι τα αρχεία μπορούν να εκτελεστούν απευθείας από τη διεπαφή ιστού. Αυτό έχει ως αποτέλεσμα ένα περιβάλλον ιστού που μπορεί να αλληλεπιδράσει με τα API του συστήματος για την εκτέλεση αρχείων από το σύστημα αρχείων εκτός του προγράμματος περιήγησης χωρίς sandboxing ή περιορισμούς.

Επιπλέον, ιστότοποι και επεκτάσεις μπορούν να συνδεθούν με το My Flaw. Αυτό σημαίνει ότι ένας εισβολέας θα μπορούσε να δημιουργήσει μια κακόβουλη επέκταση που μιμείται την κινητή συσκευή στην οποία είναι συνδεδεμένος ο υπολογιστής του θύματος. Στη συνέχεια, θα μπορούσε να χρησιμοποιήσει JavaScript για να παραδώσει ένα κακόβουλο αρχείο που θα εκτελείται όταν κάποιος κάνει κλικ οπουδήποτε στην οθόνη.

Οι προγραμματιστές του Opera ενημερώθηκαν για την ευπάθεια στο My Flaw στις 17 Νοεμβρίου πέρυσι και η ευπάθεια διορθώθηκε στις 22 Νοεμβρίου.