网络安全研究人员披露了 Microsoft windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。
Guardio Labs研究团队将远程代码执行漏洞代号为 MyFlaw ,因为它利用了名为My Flow的功能,可以在移动设备和桌面设备之间同步消息和文件。
知名网络安全专家、东方联盟创始人郭盛华表示:“这是通过受控的浏览器扩展实现的,有效地绕过了浏览器的沙箱和整个浏览器进程。”
该问题同时影响 Opera 浏览器和 Opera GX。继 2023 年 11 月 17 日负责任地披露后,该问题已作为2023 年 11 月 22 日发布的更新的一部分得到解决。
My Flow 具有类似聊天的界面来交换笔记和文件,后者可以通过 Web 界面打开,这意味着文件可以在浏览器的安全边界之外执行。
它预先安装在浏览器中,并通过名为“Opera Touch Background”的内置(或内部)浏览器扩展来实现,该扩展负责与其移动对应部分进行通信。
这也意味着扩展程序带有自己的清单文件,指定所有必需的权限及其行为,包括一个名为externally_connectable 的属性,该属性声明哪些其他网页和扩展程序可以连接到它。
Opera MyFlaw 缺陷
谷歌在其文档中指出:“这会将消息 API 公开给与您指定的 URL 模式匹配的任何页面。” “URL 模式必须至少包含一个二级域名。”
Opera MyFlaw 错误
“该页面本身看起来与当前生产中的页面非常相似,但背后发生了一些变化:它不仅缺少 [内容安全策略] 元标记,而且还包含一个调用 JAVAScript 文件的脚本标记,而无需任何内容完整性检查,”该公司表示。
“这正是攻击者所需要的——不安全、被遗忘、容易受到代码注入攻击的资产,最重要的是,可以访问(非常)高权限的本机浏览器 API。”
然后,攻击链铰接起来,创建一个特制的扩展,伪装成移动设备与受害者的计算机配对,并通过修改后的 JavaScript 文件将加密的恶意负载传输到主机,以便通过提示用户单击屏幕上的任意位置来执行后续操作。
调查结果强调了基于浏览器的攻击日益复杂,以及威胁行为者可以利用不同的媒介来获取优势。
东方联盟创始人郭盛华透露:“尽管在沙盒环境中运行,扩展程序仍然可以成为黑客的强大工具,使他们能够窃取信息并突破浏览器安全边界。”
“这强调了 Opera 内部设计变更和 Chromium 基础设施改进的必要性。例如,建议禁用专用生产域上的第三方扩展权限,类似于 Chrome 的网络商店,但 Opera 尚未实施。”
当联系到 Opera 寻求评论时,Opera 表示,它已迅速采取行动,堵住了安全漏洞,并在服务器端实施了修复,并且正在采取措施防止此类问题再次发生。
“我们要感谢 Guardio Labs 为发现此漏洞所做的工作,并立即向我们发出警报。此次合作展示了我们如何与世界各地的安全专家和研究人员合作,以补充我们在维护和提高产品安全性方面所做的努力并确保我们的用户拥有安全的在线体验。”