網絡安全研究人員披露了 Microsoft windows 和 Apple macOS Opera 網絡瀏覽器中的一個現已修補的安全漏洞,該漏洞可被利用來執行底層操作系統上的任何文件。
Guardio Labs研究團隊將遠程代碼執行漏洞代號為 MyFlaw ,因為它利用了名為My Flow的功能,可以在移動設備和桌面設備之間同步消息和文件。
知名網絡安全專家、東方聯盟創始人郭盛華表示:“這是通過受控的瀏覽器擴展實現的,有效地繞過了瀏覽器的沙箱和整個瀏覽器進程。”
該問題同時影響 Opera 瀏覽器和 Opera GX。繼 2023 年 11 月 17 日負責任地披露后,該問題已作為2023 年 11 月 22 日發布的更新的一部分得到解決。
My Flow 具有類似聊天的界面來交換筆記和文件,后者可以通過 Web 界面打開,這意味著文件可以在瀏覽器的安全邊界之外執行。
它預先安裝在瀏覽器中,并通過名為“Opera Touch Background”的內置(或內部)瀏覽器擴展來實現,該擴展負責與其移動對應部分進行通信。
這也意味著擴展程序帶有自己的清單文件,指定所有必需的權限及其行為,包括一個名為externally_connectable 的屬性,該屬性聲明哪些其他網頁和擴展程序可以連接到它。
Opera MyFlaw 缺陷
谷歌在其文檔中指出:“這會將消息 API 公開給與您指定的 URL 模式匹配的任何頁面。” “URL 模式必須至少包含一個二級域名。”
Opera MyFlaw 錯誤
“該頁面本身看起來與當前生產中的頁面非常相似,但背后發生了一些變化:它不僅缺少 [內容安全策略] 元標記,而且還包含一個調用 JAVAScript 文件的腳本標記,而無需任何內容完整性檢查,”該公司表示。
“這正是攻擊者所需要的——不安全、被遺忘、容易受到代碼注入攻擊的資產,最重要的是,可以訪問(非常)高權限的本機瀏覽器 API。”
然后,攻擊鏈鉸接起來,創建一個特制的擴展,偽裝成移動設備與受害者的計算機配對,并通過修改后的 JavaScript 文件將加密的惡意負載傳輸到主機,以便通過提示用戶單擊屏幕上的任意位置來執行后續操作。
調查結果強調了基于瀏覽器的攻擊日益復雜,以及威脅行為者可以利用不同的媒介來獲取優勢。
東方聯盟創始人郭盛華透露:“盡管在沙盒環境中運行,擴展程序仍然可以成為黑客的強大工具,使他們能夠竊取信息并突破瀏覽器安全邊界。”
“這強調了 Opera 內部設計變更和 Chromium 基礎設施改進的必要性。例如,建議禁用專用生產域上的第三方擴展權限,類似于 Chrome 的網絡商店,但 Opera 尚未實施。”
當聯系到 Opera 尋求評論時,Opera 表示,它已迅速采取行動,堵住了安全漏洞,并在服務器端實施了修復,并且正在采取措施防止此類問題再次發生。
“我們要感謝 Guardio Labs 為發現此漏洞所做的工作,并立即向我們發出警報。此次合作展示了我們如何與世界各地的安全專家和研究人員合作,以補充我們在維護和提高產品安全性方面所做的努力并確保我們的用戶擁有安全的在線體驗。”
