Vorsicht vor neuer Sicherheitslücke im Opera-Browser

Laut The Hacker News betraf das Problem die im Browser integrierte Funktion „My Flaw“, die Teil der Opera Touch Background-Erweiterung ist und nicht entfernt wurde. „My Flaw“ ermöglicht es Benutzern, Notizen zu machen und Dateien zwischen Desktop- und Mobilbrowsern auszutauschen.

Dies ist eine bekannte Funktion, da moderne Softwareentwickler oft Tools zum schnellen Datenaustausch zwischen Computern und Mobilgeräten bereitstellen. Im Fall von Opera geht dies jedoch auf Kosten der Sicherheit.

Laut Guardio Labs funktioniert die Benutzeroberfläche von My Flaw wie ein Chat zum Teilen von Dateien. Sie bietet eine „Öffnen“-Funktion für jede Nachricht mit Anhang, sodass Dateien direkt von der Weboberfläche aus ausgeführt werden können. Dadurch entsteht ein Webkontext, der mit System-APIs interagieren kann, um Dateien aus dem Dateisystem außerhalb des Browsers ohne Sandboxing oder Einschränkungen auszuführen.

Darüber hinaus können Websites und Erweiterungen mit My Flaw verknüpft werden. Das bedeutet, dass ein Angreifer eine schädliche Erweiterung erstellen kann, die sich als das Mobilgerät ausgibt, mit dem der Computer des Opfers verbunden ist. Anschließend kann er mithilfe von JavaScript eine schädliche Datei übermitteln, die ausgeführt wird, wenn jemand irgendwo auf den Bildschirm klickt.

Die Opera-Entwickler wurden am 17. November letzten Jahres über die Sicherheitslücke in My Flaw informiert und die Sicherheitslücke wurde kurz darauf am 22. November behoben.