Hacker Newsによると、この問題はブラウザに組み込まれている「My Flaw」機能に関連しているとのことです。これはOpera Touch Background拡張機能の一部であり、削除されていません。My Flawを使用すると、ユーザーはメモを取ったり、デスクトップブラウザとモバイルブラウザ間でファイルを共有したりできます。
My Flaw は、Opera Web ブラウザの便利な同期機能です。
現代のソフトウェア開発者は、コンピューターとモバイルデバイス間でデータを迅速に交換するためのツールを提供することが多いため、これはおなじみの機能ですが、Opera の場合は、セキュリティが犠牲になっています。
Guardio Labsによると、My Flawのインターフェースはファイル共有のためのチャットのように機能し、添付ファイル付きのメッセージには「開く」機能が用意されているため、Webインターフェースから直接ファイルを実行できる。これにより、サンドボックス化や制限なしに、ブラウザ外でファイルシステムからファイルを実行するためのシステムAPIと連携できるWebコンテキストが実現する。
さらに、ウェブサイトや拡張機能もMy Flawに接続可能です。つまり、攻撃者は被害者のコンピュータが接続されているモバイルデバイスを偽装する悪意のある拡張機能を作成し、JavaScriptを使って悪意のあるファイルを配信し、画面上の任意の場所をクリックした際に実行されるようにすることが可能です。
Opera の開発者は昨年 11 月 17 日に My Flaw の脆弱性について通知を受け、この脆弱性は 11 月 22 日に修正されました。
[広告2]
ソースリンク
![[写真] ハノイ:当局は豪雨の影響克服に尽力](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/26/380f98ee36a34e62a9b7894b020112a8)
コメント (0)