Guardio Labs 的安全研究人员发现 Windows 和 macOS 操作系统的 Opera Web 浏览器存在严重缺陷。利用这些缺陷,攻击者可以在计算机的基本操作系统上运行任何文件,包括恶意文件。
专家将该漏洞命名为“MyFlaw”(文字游戏,直译为“我的漏洞”),因为它与“我的流程”功能相关联,该功能允许用户在移动设备和桌面设备之间同步消息和文件。
攻击者使用受其控制的浏览器扩展来实现这个漏洞,成功绕过了浏览器的沙箱和整个工作流程。该问题同时影响 Opera 和 Opera GX 的常规版本。
My Flow 具有类似聊天的界面,用于在智能手机和台式计算机之间共享笔记和文件。事实证明,来自该聊天的文件可以直接通过浏览器的网络界面启动,不受浏览器安全性的影响。
My Flow 的运行由名为“Opera Touch Background”的内置扩展来实现,该扩展负责与移动模拟设备进行通信。该扩展包含自己的清单文件,其中指定了其行为以及所有必要的权限,包括“externally_connectable”属性,该属性声明其他网页和扩展可以连接到它。
可以与扩展程序通信的域必须与模式“*.flow.opera.com”和“.flow.op-test.net”匹配,由浏览器开发人员自己控制。然而,Guardio Labs 研究人员在“web.flow.opera.com”域上发现了 My Flow 起始页的“被遗忘”版本。
找到的页面在视觉上与当前版本类似,但不同之处在于缺少内容安全策略标记以及存在调用JavaScript文件而不检查其完整性的脚本标记。
Guardio Labs 的报告称:“这正是攻击者所需要的——一种不安全、被遗忘且易受代码注入攻击的资源,并且具有对浏览器 API 的非常高的特权访问权限。”
最后的攻击链涉及攻击者创建一个特殊的扩展程序,将自己伪装成移动设备来与受害者的计算机进行通信,并通过修改后的 JavaScript 文件传输加密的恶意代码,以便随后只需点击用户的屏幕即可执行。
“MyFlaw”攻击方案
研究人员表示:“尽管在孤立的环境中运行,扩展程序仍然可以成为黑客的强大工具,使他们能够窃取信息并突破浏览器的安全边界。”
Opera在2023年11月22日修复了这个漏洞,仅在漏洞被披露的5天后。开发人员还进行了服务器端修复,并采取了一系列措施来防止将来出现类似问题。出于安全原因,决定现在才公开披露该漏洞,以确保尽可能多的用户能够自动接收到必要的更新。
转自安全客,原文链接:https://www.anquanke.com/post/id/292647
暂无评论内容