היזהרו מפגיעות חדשה בדפדפן אופרה

לפי The Hacker News , הבעיה קשורה לתכונה המובנית של הדפדפן My Flaw, שהיא חלק מהתוסף Opera Touch Background ולא הוסרה. My Flaw מאפשר למשתמשים לרשום הערות ולשתף קבצים בין דפדפנים למחשב שולחני למובייל.

זוהי תכונה מוכרת שכן מפתחי תוכנה מודרניים מספקים לעתים קרובות כלים להחלפת נתונים בין מחשבים למכשירים ניידים במהירות, אך במקרה של אופרה, זה בא על חשבון האבטחה.

Guardio Labs טוענת שהממשק של My Flaw פועל כמו צ'אט לשיתוף קבצים, ומספק פונקציית "פתיחה" לכל הודעה עם קובץ מצורף, כלומר ניתן להריץ קבצים ישירות מממשק האינטרנט. התוצאה היא הקשר אינטרנטי שיכול לקיים אינטראקציה עם ממשקי API של המערכת כדי להריץ קבצים ממערכת הקבצים מחוץ לדפדפן ללא ארגז חול או הגבלות.

בנוסף, אתרים ותוספים יכולים להיות מחוברים ל-My Flaw. משמעות הדבר היא שתוקף יכול ליצור תוסף זדוני שמתחזה למכשיר הנייד שאליו מחובר מחשב הקורבן. לאחר מכן הם יכולים להשתמש ב-JavaScript כדי לספק קובץ זדוני שיבוצע כאשר מישהו לוחץ במקום כלשהו על המסך.

מפתחי אופרה קיבלו הודעה על הפגיעות ב-My Flaw ב-17 בנובמבר בשנה שעברה והפגיעות תוקנה ב-22 בנובמבר.