Waspadai kerentanan baru di browser Opera

Menurut The Hacker News , masalah ini terkait dengan fitur bawaan peramban, My Flaw, yang merupakan bagian dari ekstensi Opera Touch Background dan belum dihapus. My Flaw memungkinkan pengguna untuk membuat catatan dan berbagi berkas antara peramban desktop dan seluler.

Ini adalah fitur yang umum karena pengembang perangkat lunak modern sering menyediakan alat untuk bertukar data antara komputer dan perangkat seluler dengan cepat, tetapi dalam kasus Opera, hal ini mengorbankan keamanan.

Guardio Labs menyatakan bahwa antarmuka My Flaw berfungsi seperti obrolan untuk berbagi berkas, menyediakan fungsi "Buka" untuk pesan apa pun yang disertai lampiran, yang berarti berkas dapat dieksekusi langsung dari antarmuka web. Hal ini menghasilkan konteks web yang dapat berinteraksi dengan API sistem untuk mengeksekusi berkas dari sistem berkas di luar peramban tanpa sandboxing atau batasan.

Selain itu, situs web dan ekstensi dapat terhubung ke My Flaw. Ini berarti penyerang dapat membuat ekstensi berbahaya yang meniru perangkat seluler yang terhubung dengan komputer korban. Mereka kemudian dapat menggunakan JavaScript untuk mengirimkan berkas berbahaya yang akan dieksekusi ketika seseorang mengklik bagian mana pun di layar.

Pengembang Opera telah diberitahu mengenai kerentanan dalam My Flaw pada tanggal 17 November tahun lalu dan kerentanan tersebut telah ditambal pada tanggal 22 November.