Opera浏览器的远程代码执行漏洞报告

关键要点

• Opera浏览器的“ MyFlaw”漏洞可能导致Windows和macOS系统受到攻击。
• 攻击者利用此漏洞，通过恶意扩展程序绕过Opera的沙盒和进程，执行文件。
• Opera的“My Flow”功能存在未被妥善处理的旧版本，可能会安全性问题。
• 研究人员呼吁Opera进行内部设计更新和改进Chromium基础设施。

根据的报道，Windows和macOS系统可能因Opera浏览器中的一个远程代码执行漏洞而面临安全风险。攻击者利用被称为”MyFlaw”的漏洞，该漏洞源自Opera的MyFlow功能，允许设备间消息和文件同步。根据GuardioLabs研究团队的报告，攻击者通过一个恶意扩展程序绕过了Opera的沙盒和进程，来分发文件执行载荷。

在研究人员的发现中，Opera的MyFlow功能还存在一个被遗忘的旧版本，该版本包括一个脚本标签，寻求一个JavaScript文件，而无需任何完整性检查，并且没有包含内容安全策略的meta标签。这种漏洞的利用表明，日益复杂化。研究人员指出：“这凸显了Opera进行内部设计变更和改进Chromium基础设施的必要性。例如，建议在专用生产域上禁用第三方扩展权限，类似于Chrome的应用商店，但Opera尚未实施这一措施。”

作为网络安全日益重要的领域，增强浏览器安全性、及时更新和修复已知漏洞显得尤为重要。用户应保持警觉，并定期检查浏览器和扩展的安全性更新，而开发商也应加快漏洞修复的速度，以保护用户的安全。