Сегодня 02 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Opera нашли уязвимость, которая позволяла запускать любые файлы на компьютерах с Windows и macOS

В браузере Opera обнаружена уязвимость, которая позволяет хакерам запускать практически любые файлы на компьютерах под управлением операционных систем Windows и macOS. Ошибку выявили эксперты Guardio Labs, которые уведомили разработчиков и помогли закрыть уязвимость.

 Источник изображения: opera.com

Источник изображения: opera.com

Проблема связана со встроенной в браузер функцией My Flow, которая является частью расширения Opera Touch Background и не удаляется. My Flow позволяет пользователям делать заметки и обмениваться файлами между настольной и мобильной версиями браузера — современные разработчики ПО часто предлагают средства обмена данными между ПК и мобильными устройствами, но в данном случае это было сделано в ущерб безопасности.

Похожий на чат интерфейс при обмене файлами предлагает функцию «Открыть» для любого сообщения с прикреплённым файлом, то есть файлы могут выполняться непосредственно из веб-интерфейса, обратили внимание в Guardio Labs. Это значит, что контекст веб-страницы получил средства взаимодействия с системным API для выполнения файла из файловой системы — вне браузера, без песочницы и ограничений.

Более того, к My Flow могут подключаться веб-страницы и расширения. Это значит, что злоумышленник может создать вредоносное расширение, которое выдаёт себя за мобильное устройство, к которому может подключаться компьютер жертвы. После этого он может передать вредоносный файл при помощи JavaScript, и этот файл запустится по клику в любой точке экрана.

Разработчики Opera получили сообщение об уязвимости 17 ноября 2023 года, а 22 ноября ошибка была исправлена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Первый пострелизный патч для Elden Ring Nightreign упростил жизнь игрокам-одиночкам и увеличил награды 17 мин.
Telegram, подвинься: Маск представил мессенджер XChat с шифрованием в стиле биткоина 3 ч.
«Базис» и Татарстан создадут импортонезависимую облачную инфраструктуру для госсервисов и бизнеса республики 4 ч.
Надёжный инсайдер: Ubisoft дала зелёный свет The Crew 4 4 ч.
«Базис» и СберТех обеспечат бизнесу удобную и устойчивую инфраструктуру 4 ч.
Java отметила 30-летие — это по-прежнему один из популярнейших языков программирования 5 ч.
«Если будем распыляться, у нас ничего не выйдет»: CD Projekt останется верна большим RPG вроде The Witcher 4 и Cyberpunk 2, несмотря на соблазны 5 ч.
Выручка ИИ-стартапа Anthropic достигла $3 млрд в годовом выражении, но до OpenAI ещё далеко 6 ч.
Разработчик Bulletstorm и Gears of War: E-Day остановил производство двух секретных игр — в People Can Fly пройдут новые увольнения 7 ч.
Грядущая конференция Apple WWDC для разработчиков будет скудна на новости в сфере ИИ 11 ч.
YADRO представила на ЦИПР первую отечественную All-NVMe систему хранения данных TATLIN.AFA 17 мин.
Snapdragon 8 Elite захватил майский топ в AnTuTu — лидирует Red Magic 10S Pro+ 57 мин.
YADRO и билайн продемонстрировали на ЦИПР работу отечественной базовой станции 2 ч.
Palit и Lynk+ показали модульную систему жидкостного охлаждения для видеокарт GeForce RTX 5090 3 ч.
«РТК-ЦОД» запустил в Нижнем Новгороде 5-МВт дата-центр на 401 стойку 3 ч.
Минцифры урезало госфинансирование отечественных базовых станций: из 46 млрд рублей осталось только 20 млрд 4 ч.
Вышла плата Banana Pi BPI-R4 Pro для маршрутизаторов с Wi-Fi 7, 2.5/10GbE-портами и пятью слотами M.2 4 ч.
МТС заменит «зоопарк устаревшего оборудования» на отечественное — на это потратят 22 млрд рублей 4 ч.
Принадлежащая Alibaba турецкая Trendyol Group построит ЦОД на 48 МВт в Анкаре 4 ч.
Blue Origin свозила на границу космоса ещё шесть туристов на ракете New Shepard 6 ч.