Según The Hacker News , el problema se relacionaba con la función "Mi Defecto" integrada en el navegador, que forma parte de la extensión Opera Touch Background y no se ha eliminado. "Mi Defecto" permite a los usuarios tomar notas y compartir archivos entre navegadores de escritorio y móviles.
My Flaw es una práctica función de sincronización en el navegador web Opera
Esta es una característica familiar ya que los desarrolladores de software modernos a menudo proporcionan herramientas para intercambiar datos entre computadoras y dispositivos móviles rápidamente, pero en el caso de Opera, esto tiene un costo en la seguridad.
Guardio Labs afirma que la interfaz de My Flaw funciona como un chat para compartir archivos, ofreciendo una función de "Abrir" para cualquier mensaje con archivo adjunto, lo que significa que los archivos se pueden ejecutar directamente desde la interfaz web. Esto genera un contexto web que puede interactuar con las API del sistema para ejecutar archivos desde el sistema de archivos fuera del navegador, sin necesidad de espacio aislado ni restricciones.
Además, los sitios web y las extensiones pueden conectarse a My Flaw. Esto significa que un atacante puede crear una extensión maliciosa que suplante la identidad del dispositivo móvil al que está conectado el ordenador de la víctima. Luego, puede usar JavaScript para enviar un archivo malicioso que se ejecutará al hacer clic en cualquier parte de la pantalla.
Los desarrolladores de Opera fueron notificados de la vulnerabilidad en My Flaw el 17 de noviembre del año pasado y la vulnerabilidad fue corregida poco después, el 22 de noviembre.
[anuncio_2]
Enlace de origen
Kommentar (0)