ตามรายงานของ The Hacker News ปัญหานี้เกี่ยวข้องกับฟีเจอร์ My Flaw ในตัวเบราว์เซอร์ ซึ่งเป็นส่วนหนึ่งของส่วนขยาย Opera Touch Background และยังไม่ถูกนำออก My Flaw ช่วยให้ผู้ใช้จดบันทึกและแชร์ไฟล์ระหว่างเบราว์เซอร์เดสก์ท็อปและมือถือได้
My Flaw เป็นฟีเจอร์การซิงค์ที่สะดวกสบายบนเว็บเบราว์เซอร์ Opera
นี่เป็นฟีเจอร์ที่คุ้นเคยเนื่องจากนักพัฒนาซอฟต์แวร์สมัยใหม่มักจัดเตรียมเครื่องมือสำหรับแลกเปลี่ยนข้อมูลระหว่างคอมพิวเตอร์และอุปกรณ์พกพาอย่างรวดเร็ว แต่ในกรณีของ Opera ต้องแลกมาด้วยความปลอดภัย
Guardio Labs กล่าวว่าอินเทอร์เฟซของ My Flaw ทำงานเหมือนแชทสำหรับแชร์ไฟล์ โดยมีฟังก์ชัน "เปิด" สำหรับข้อความใดๆ ที่มีไฟล์แนบ ซึ่งหมายความว่าสามารถเรียกใช้ไฟล์ได้โดยตรงจากอินเทอร์เฟซบนเว็บ ส่งผลให้บริบทบนเว็บสามารถโต้ตอบกับ API ของระบบเพื่อเรียกใช้ไฟล์จากระบบไฟล์ภายนอกเบราว์เซอร์ได้โดยไม่ต้องผ่านแซนด์บ็อกซ์หรือข้อจำกัดใดๆ
นอกจากนี้ เว็บไซต์และส่วนขยายยังสามารถเชื่อมต่อกับ My Flaw ได้ ซึ่งหมายความว่าผู้โจมตีสามารถสร้างส่วนขยายที่เป็นอันตรายซึ่งปลอมแปลงเป็นอุปกรณ์มือถือที่คอมพิวเตอร์ของเหยื่อเชื่อมต่ออยู่ จากนั้นพวกเขาสามารถใช้ JavaScript เพื่อส่งไฟล์ที่เป็นอันตรายซึ่งจะถูกเรียกใช้งานเมื่อมีคนคลิกที่ใดก็ได้บนหน้าจอ
นักพัฒนา Opera ได้รับแจ้งเกี่ยวกับช่องโหว่ใน My Flaw เมื่อวันที่ 17 พฤศจิกายนปีที่แล้ว และช่องโหว่ดังกล่าวได้รับการแก้ไขในเวลาไม่นานหลังจากนั้นในวันที่ 22 พฤศจิกายน
ลิงค์ที่มา
การแสดงความคิดเห็น (0)