Сегодня 26 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Opera нашли уязвимость, которая позволяла запускать любые файлы на компьютерах с Windows и macOS

В браузере Opera обнаружена уязвимость, которая позволяет хакерам запускать практически любые файлы на компьютерах под управлением операционных систем Windows и macOS. Ошибку выявили эксперты Guardio Labs, которые уведомили разработчиков и помогли закрыть уязвимость.

 Источник изображения: opera.com

Источник изображения: opera.com

Проблема связана со встроенной в браузер функцией My Flow, которая является частью расширения Opera Touch Background и не удаляется. My Flow позволяет пользователям делать заметки и обмениваться файлами между настольной и мобильной версиями браузера — современные разработчики ПО часто предлагают средства обмена данными между ПК и мобильными устройствами, но в данном случае это было сделано в ущерб безопасности.

Похожий на чат интерфейс при обмене файлами предлагает функцию «Открыть» для любого сообщения с прикреплённым файлом, то есть файлы могут выполняться непосредственно из веб-интерфейса, обратили внимание в Guardio Labs. Это значит, что контекст веб-страницы получил средства взаимодействия с системным API для выполнения файла из файловой системы — вне браузера, без песочницы и ограничений.

Более того, к My Flow могут подключаться веб-страницы и расширения. Это значит, что злоумышленник может создать вредоносное расширение, которое выдаёт себя за мобильное устройство, к которому может подключаться компьютер жертвы. После этого он может передать вредоносный файл при помощи JavaScript, и этот файл запустится по клику в любой точке экрана.

Разработчики Opera получили сообщение об уязвимости 17 ноября 2023 года, а 22 ноября ошибка была исправлена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«К чёрту Embracer Group»: неизвестный устроил утечку исходного кода Saints Row IV 2 ч.
Отечественная платформа Tantor повысит производительность и удобство работы с СУБД на базе PostgreSQL 5 ч.
В Steam вышла новая демоверсия голливудской стратегии Hollywood Animal от авторов This is the Police 5 ч.
IT-холдинг Т1 подал иск к «Марвел-Дистрибуции» в связи с уходом Fortinet из России 6 ч.
Рождественское чудо: в открытый доступ выложили документы Rockstar начала 2000-х, включая планы на GTA Online от 2001 года 6 ч.
«Битрикс24» представил собственную ИИ-модель BitrixGPT 7 ч.
За 2024 год в Китае допустили к релизу более 1400 игр — это лучший результат за последние пять лет 7 ч.
Google применила конкурирующего ИИ-бота Anthropic Claude для улучшения своих нейросетей Gemini 8 ч.
Apple призналась, почему из российского App Store стали пропадать VPN-приложения 9 ч.
Платформер Restitched отправит исследовать и создавать красочные миры — геймплейный трейлер духовного наследника LittleBigPlanet 9 ч.
Omdia: быстрый рост спроса на TPU Google ставит под вопрос доминирование NVIDIA на рынке ИИ-ускорителей 44 мин.
Российскую игровую приставку собрались построить на процессоре «Эльбрус», для которого не существует игр 2 ч.
Ubitium придумала универсальный процессор — он один выполняет работу CPU, GPU, FPGA и DSP 2 ч.
Equinix предложил ИИ-фабрики на базе систем Dell с ускорителями NVIDIA 3 ч.
NASA показало «рождественскую ель» галактического масштаба 3 ч.
Китайский оператор ЦОД Yovole может выйти на IPO в США — после неудавшейся попытки в Китае 3 ч.
Patriot представила SSD P400 V4 PCIe 4.0 — до 4 Тбайт и до 6200 Мбайт/с 4 ч.
OnePlus представила доступные флагманы Ace 5 и Ace 5 Pro со Snapdragon, большими экранами и до 16 Гбайт ОЗУ 4 ч.
Китайский робопёс Unitree B2-W показал чудеса ловкости при езде по пересечённой местности и воде 5 ч.
В серию трёхфазных ИБП Ippon Intatum ML вошли модели мощностью до 300 кВА 5 ч.