Сегодня 24 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Opera нашли уязвимость, которая позволяла запускать любые файлы на компьютерах с Windows и macOS

В браузере Opera обнаружена уязвимость, которая позволяет хакерам запускать практически любые файлы на компьютерах под управлением операционных систем Windows и macOS. Ошибку выявили эксперты Guardio Labs, которые уведомили разработчиков и помогли закрыть уязвимость.

 Источник изображения: opera.com

Источник изображения: opera.com

Проблема связана со встроенной в браузер функцией My Flow, которая является частью расширения Opera Touch Background и не удаляется. My Flow позволяет пользователям делать заметки и обмениваться файлами между настольной и мобильной версиями браузера — современные разработчики ПО часто предлагают средства обмена данными между ПК и мобильными устройствами, но в данном случае это было сделано в ущерб безопасности.

Похожий на чат интерфейс при обмене файлами предлагает функцию «Открыть» для любого сообщения с прикреплённым файлом, то есть файлы могут выполняться непосредственно из веб-интерфейса, обратили внимание в Guardio Labs. Это значит, что контекст веб-страницы получил средства взаимодействия с системным API для выполнения файла из файловой системы — вне браузера, без песочницы и ограничений.

Более того, к My Flow могут подключаться веб-страницы и расширения. Это значит, что злоумышленник может создать вредоносное расширение, которое выдаёт себя за мобильное устройство, к которому может подключаться компьютер жертвы. После этого он может передать вредоносный файл при помощи JavaScript, и этот файл запустится по клику в любой точке экрана.

Разработчики Opera получили сообщение об уязвимости 17 ноября 2023 года, а 22 ноября ошибка была исправлена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Суд обязал OpenAI хранить даже удалённые чаты, но пользователи считают это тотальной слежкой 47 мин.
Конгресс США запретил сотрудникам пользоваться высокорискованным WhatsApp 9 ч.
«Продолжаем держать курс на крутые обновления»: создатели «Мира танков» и «Мира кораблей» нацелены обжаловать решение суда 9 ч.
Одна платформа, чтоб править всеми: в библиотеку Xbox на ПК скоро можно будет добавить игры из Steam, Battle.net и «других ведущих магазинов» 10 ч.
Точки восстановления в Windows 11 теперь живут всего 60 дней 11 ч.
Фольклорный хоррор «Лихо одноглазое» от создателей «Чёрной книги» получил дату выхода в Steam и новый трейлер 11 ч.
Календарь релизов — 23 – 29 июня: Death Stranding 2 и System Shock 2: 25th Anniversary Remaster 13 ч.
Dune: Awakening установила рекорд по скорости продаж для Funcom — более 800 тысяч смертей от Шаи-Хулуда и другие достижения игроков 13 ч.
Broadcom представила VMware Cloud Foundation 9 — основу основ для современного частного облака 17 ч.
Разработчики российского MMO-шутера Pioner раскрыли, как будут улучшать игру по итогам тестирования в Steam 19 ч.