Laut The Hacker News hängt das Problem mit der im Browser integrierten Funktion „My Flaw“ zusammen, die Teil der Opera Touch Background-Erweiterung ist und nicht entfernt wurde. Mit My Flaw können Benutzer Notizen machen und Dateien zwischen Desktop- und Mobilbrowsern teilen.
My Flaw ist eine praktische Synchronisierungsfunktion im Opera-Webbrowser.
Dies ist eine bekannte Funktion, da moderne Softwareentwickler oft Tools für den schnellen Datenaustausch zwischen Computern und Mobilgeräten bereitstellen. Im Fall von Opera geht dies jedoch auf Kosten der Sicherheit.
Guardio Labs sagt, dass die Schnittstelle von My Flaw wie ein Chat zum Teilen von Dateien funktioniert und eine „Öffnen“-Funktion für alle Nachrichten mit Anhang bietet, was bedeutet, dass Dateien direkt von der Webschnittstelle aus ausgeführt werden können. Das Ergebnis ist ein Webkontext, der mit System-APIs interagieren kann, um Dateien aus dem Dateisystem außerhalb des Browsers ohne Sandboxing oder Einschränkungen auszuführen.
Darüber hinaus können Websites und Erweiterungen mit My Flaw verknüpft werden. Dies bedeutet, dass ein Angreifer eine bösartige Erweiterung erstellen könnte, die sich als das mobile Gerät ausgibt, mit dem der Computer des Opfers eine Verbindung herzustellen versucht. Sie können dann JavaScript verwenden, um eine schädliche Datei zu übermitteln, die ausgeführt wird, wenn jemand irgendwo auf den Bildschirm klickt.
Die Entwickler von Opera wurden am 17. November letzten Jahres über die Sicherheitslücke in My Flaw informiert und die Sicherheitslücke wurde am 22. November gepatcht.
[Anzeige_2]
Quellenlink
Kommentar (0)