Foi descoberta uma vulnerabilidade no navegador Opera que permite que hackers executem quase qualquer arquivo em computadores que executam os sistemas operacionais Windows e macOS. O erro foi identificado pelos especialistas do Guardio Labs, que notificaram os desenvolvedores e ajudaram a fechar a vulnerabilidade.
O problema está relacionado ao recurso MyFlaw integrado ao navegador, que faz parte da extensão Opera Touch Background e não é removido. MyFlaw permite que os usuários façam anotações e compartilhem arquivos entre navegadores de desktop e móveis – os desenvolvedores de software modernos geralmente oferecem ferramentas para compartilhar dados entre PCs e dispositivos móveis, mas neste caso isso foi feito às custas da segurança.
A interface tipo chat para troca de arquivos oferece a função “Abrir” para qualquer mensagem com arquivo anexado, ou seja, os arquivos podem ser executados diretamente da interface web, observou Guardio Labs. Isso significa que o contexto da página da web tem um meio de interagir com a API do sistema para executar um arquivo do sistema de arquivos – fora do navegador, sem sandbox ou restrições.
Além disso, páginas da web e extensões podem ser conectadas ao MyFlaw. Isso significa que um invasor pode criar uma extensão maliciosa que se faz passar por um dispositivo móvel ao qual o computador da vítima pode se conectar. Depois disso, ele pode transmitir um arquivo malicioso usando JavaScript, e esse arquivo será executado quando clicado em qualquer lugar da tela.
Os desenvolvedores do Opera receberam uma notificação sobre a vulnerabilidade em 17 de novembro de 2023, e o erro foi corrigido em 22 de novembro.