Сегодня 13 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Opera нашли уязвимость, которая позволяла запускать любые файлы на компьютерах с Windows и macOS

В браузере Opera обнаружена уязвимость, которая позволяет хакерам запускать практически любые файлы на компьютерах под управлением операционных систем Windows и macOS. Ошибку выявили эксперты Guardio Labs, которые уведомили разработчиков и помогли закрыть уязвимость.

 Источник изображения: opera.com

Источник изображения: opera.com

Проблема связана со встроенной в браузер функцией My Flow, которая является частью расширения Opera Touch Background и не удаляется. My Flow позволяет пользователям делать заметки и обмениваться файлами между настольной и мобильной версиями браузера — современные разработчики ПО часто предлагают средства обмена данными между ПК и мобильными устройствами, но в данном случае это было сделано в ущерб безопасности.

Похожий на чат интерфейс при обмене файлами предлагает функцию «Открыть» для любого сообщения с прикреплённым файлом, то есть файлы могут выполняться непосредственно из веб-интерфейса, обратили внимание в Guardio Labs. Это значит, что контекст веб-страницы получил средства взаимодействия с системным API для выполнения файла из файловой системы — вне браузера, без песочницы и ограничений.

Более того, к My Flow могут подключаться веб-страницы и расширения. Это значит, что злоумышленник может создать вредоносное расширение, которое выдаёт себя за мобильное устройство, к которому может подключаться компьютер жертвы. После этого он может передать вредоносный файл при помощи JavaScript, и этот файл запустится по клику в любой точке экрана.

Разработчики Opera получили сообщение об уязвимости 17 ноября 2023 года, а 22 ноября ошибка была исправлена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Крупнейшие сайты с пиратскими играми изъяты и перешли под контроль ФБР 2 ч.
Grok вышел из-под контроля, а Турция заблокировала ИИ за оскорбление президента 2 ч.
Новая статья: Dune: Awakening — песочница Лисан аль-Гаиба. Рецензия 8 ч.
Особые цены для особо ценных клиентов: Broadcom запросила у Telefónica Germany за поддержку VMware впятеро больше прежнего 9 ч.
Франция возбудила уголовное дело в отношении соцсети X по подозрению в манипулировании алгоритмами 9 ч.
Китайский стартап Moonshot выпустил открытую ИИ-модель Kimi K2, превосходящую GPT-4 11 ч.
Microsoft представила рассуждающую ИИ-модель Phi-4-mini-flash-reasoning— в 10 раз быстрее аналогов и запустится даже на смартфоне 18 ч.
ИИ-боты оказались никудышными психотерапевтами — они давали вредные советы и отказывались общаться с алкоголиками 18 ч.
Meta не откажется от бизнес-модели «плати или соглашайся», несмотря на угрозу штрафов в ЕС 19 ч.
Meta пополнила коллекцию ИИ-талантов, поглотив специализирующийся на голосовом ИИ стартап PlayAI 19 ч.