Según The Hacker News , el problema está relacionado con la función My Flaw incorporada del navegador, que es parte de la extensión Opera Touch Background y no se ha eliminado. My Flaw permite a los usuarios tomar notas y compartir archivos entre navegadores de escritorio y móviles.
My Flaw es una práctica función de sincronización en el navegador web Opera.
Esta es una característica familiar ya que los desarrolladores de software modernos a menudo proporcionan herramientas para intercambiar datos entre computadoras y dispositivos móviles rápidamente, pero en el caso de Opera, esto tiene un costo de seguridad.
Guardio Labs dice que la interfaz de My Flaw funciona como un chat para compartir archivos, proporcionando una función "Abrir" para cualquier mensaje con un archivo adjunto, lo que significa que los archivos se pueden ejecutar directamente desde la interfaz web. Esto da como resultado un contexto web que puede interactuar con las API del sistema para ejecutar archivos desde el sistema de archivos fuera del navegador sin espacio aislado ni restricciones.
Además, se pueden conectar sitios web y extensiones a My Flaw. Esto significa que un atacante podría crear una extensión maliciosa que se haga pasar por el dispositivo móvil al que la computadora de la víctima intenta conectarse. Luego pueden usar JavaScript para enviar un archivo malicioso que se ejecutará cuando alguien haga clic en cualquier parte de la pantalla.
Los desarrolladores de Opera fueron notificados de la vulnerabilidad en My Flaw el 17 de noviembre del año pasado y la vulnerabilidad fue corregida el 22 de noviembre.
Enlace de origen
Kommentar (0)