Vulnerabilitate zero-day identificată în browserul Opera
Sursă: https://cybersecuritynews.com
A fost descoperită o nouă vulnerabilitate critică în browserul web Opera ce ar putea permite extensiilor malițioase să obțină acces neautorizat la API-uri private, ceea ce ar putea permite preluarea conturilor și la alte breșe de securitate grave.
Vulnerabilitatea provine din utilizarea de către Opera a unor aplicații web speciale în cadrul unor domenii specifice, cu privilegii unice pentru a asigura funcții precum Opera Flow, Opera Wallet și Pinboard.
Aceste domenii au primit acces la API-uri private încorporate în codul nativ al Opera. Specialiștii au descoperit că extensiile malițioase puteau exploata această configurație pentru a injecta cod în aceste domenii privilegiate, ocolind măsurile de securitate prevăzute.
Atunci când este instalată din Chrome Web Store, extensia poate executa coduri malițioase pe domeniile vulnerabile ale Opera. Atacul a permis capturarea screenshot-urilor tab-urilor deschise, extragerea cookie-urilor de sesiune și chiar modificarea setărilor DNS-over-HTTPS, ceea ce ar putea duce la atacuri de tip man-in-the-middle.
Specialiștii în securitate au încarcat extensia lor de tip proof-of-concept în Chrome Web Store, pe care utilizatorii Opera o pot accesa, ocolind procesul mai strict de revizuire a extensiilor Opera.
Într-o problemă separată, dar similară, specialiștii au descoperit recent peste 300 000 de utilizatori Google Chrome și Microsoft Edge afectați de extensii malițioase capabile să exfiltreze date și să execute comenzi.
Opera a reacționat prompt la această dezvăluire, implementând remedii și eliminând privilegiile domeniilor terțe. Compania a declarat că lucrează la o restructurare mai complexă a funcțiilor sale pentru a elimina complet acest flux vulnerabil.
Pe măsură ce browserele continuă să evolueze cu noi caracteristici, echilibrul dintre funcționalitate și securitate rămâne o provocare esențială. Utilizatorii sunt sfătuiți să își mențină browserele actualizate și să fie selectivi cu privire la extensiile pe care le instalează, indiferent de sursă.
Sursă: https://cybersecuritynews.com/opera-browser-0-day-flaw/
