Сегодня 13 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Opera нашли уязвимость, которая позволяла запускать любые файлы на компьютерах с Windows и macOS

В браузере Opera обнаружена уязвимость, которая позволяет хакерам запускать практически любые файлы на компьютерах под управлением операционных систем Windows и macOS. Ошибку выявили эксперты Guardio Labs, которые уведомили разработчиков и помогли закрыть уязвимость.

 Источник изображения: opera.com

Источник изображения: opera.com

Проблема связана со встроенной в браузер функцией My Flow, которая является частью расширения Opera Touch Background и не удаляется. My Flow позволяет пользователям делать заметки и обмениваться файлами между настольной и мобильной версиями браузера — современные разработчики ПО часто предлагают средства обмена данными между ПК и мобильными устройствами, но в данном случае это было сделано в ущерб безопасности.

Похожий на чат интерфейс при обмене файлами предлагает функцию «Открыть» для любого сообщения с прикреплённым файлом, то есть файлы могут выполняться непосредственно из веб-интерфейса, обратили внимание в Guardio Labs. Это значит, что контекст веб-страницы получил средства взаимодействия с системным API для выполнения файла из файловой системы — вне браузера, без песочницы и ограничений.

Более того, к My Flow могут подключаться веб-страницы и расширения. Это значит, что злоумышленник может создать вредоносное расширение, которое выдаёт себя за мобильное устройство, к которому может подключаться компьютер жертвы. После этого он может передать вредоносный файл при помощи JavaScript, и этот файл запустится по клику в любой точке экрана.

Разработчики Opera получили сообщение об уязвимости 17 ноября 2023 года, а 22 ноября ошибка была исправлена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Вышла iOS 18.5, которая принесла на iPhone 13 бесплатную спутниковую связь 9 мин.
Sony случайно «слила» трейлер с датой выхода Stellar Blade на ПК 46 мин.
Doom: The Dark Ages по ошибке вышла в Steam раньше времени, но не для всех 3 ч.
«Давайте нам деньги и вычислительные ресурсы и не путайтесь под ногами»: OpenAI и Microsoft пытаются договориться о продолжении сотрудничества на фоне роста амбиций стартапа 4 ч.
Календарь релизов — 12–18 мая: Doom: The Dark Ages, The Precinct и Preserve 4 ч.
Remedy анонсировала закрытое тестирование шутера FBC: Firebreak по мотивам Control — сроки, системные требования, доступный контент 4 ч.
Nvidia выпустила драйвер GeForce с поддержкой Doom: The Dark Ages 6 ч.
Вышла новая версия песочницы Kaspersky Research Sandbox 3.0 с расширенными возможностями для ИБ-специалистов 6 ч.
Смартфоны Honor 400 смогут анимировать фото с помощью ИИ-генератора от Google 7 ч.
Датамайнер рассекретил планы Rockstar на ремастеры GTA IV и Max Payne 3 7 ч.
Новая статья: Обзор робота-пылесоса Midea VCR S10 Plus: одноразовые мешки для сбора мусора, прощайте! 20 мин.
Google и Elementl реализуют в США три 600-МВт атомных проекта 3 ч.
Western Digital инвестирует в технологию вечного хранения данных на керамике Cerabyte 4 ч.
Оперативная память скоро подорожает: Samsung подняла контрактные цены на DRAM 6 ч.
Космический телескоп «Джеймс Уэбб» показал полярное сияние на Юпитере — в сотни раз ярче, чем на Земле 6 ч.
CoreWeave всего через несколько недель после IPO захотела взять в долг ещё $1,5 млрд 7 ч.
Облако.ру предлагает ИИ-системы, которые позволят запускать даже мощные ИИ-модели 7 ч.
Apple поднимет цены на iPhone, но пока не придумала, чем это объяснить 8 ч.
Акции техногигантов подскочили после приостановки тарифов между США и Китаем 8 ч.
Nvidia негласно подняла цены на все чипы: GeForce подорожали на 5–10 %, а ИИ-ускорители — на 10–15 % 8 ч.