The Hacker Newsによると、この問題はブラウザに組み込まれている My Flaw 機能に関連しており、これは Opera Touch Background 拡張機能の一部であり、削除されていないとのことです。 My Flaw を使用すると、ユーザーはメモを取ったり、デスクトップとモバイル ブラウザー間でファイルを共有したりできます。
My Flaw は、Opera Web ブラウザの便利な同期機能です。
これは、現代のソフトウェア開発者がコンピューターとモバイルデバイス間でデータを迅速に交換するためのツールを提供することが多いため、よく知られている機能ですが、Opera の場合、セキュリティが犠牲になっています。
Guardio Labs によると、My Flaw のインターフェースはファイル共有用のチャットのように機能し、添付ファイル付きのメッセージに「開く」機能を提供するため、Web インターフェースから直接ファイルを実行できるという。その結果、サンドボックス化や制限なしに、システム API と対話してブラウザ外部のファイル システムからファイルを実行できる Web コンテキストが実現します。
さらに、Web サイトや拡張機能を My Flaw に接続することもできます。つまり、攻撃者は、被害者のコンピューターが接続しようとしているモバイル デバイスになりすます悪意のある拡張機能を作成できることになります。その後、JavaScript を使用して、画面上の任意の場所をクリックすると実行される悪意のあるファイルを配信できます。
Opera 開発者は昨年 11 月 17 日に My Flaw の脆弱性について通知を受け、11 月 22 日に脆弱性が修正されました。
[広告2]
ソースリンク
コメント (0)