Opera encontró una vulnerabilidad que le permitía ejecutar archivos arbitrarios en computadoras con Windows y macOS

Se ha descubierto una vulnerabilidad en el navegador Opera que permite a los piratas informáticos ejecutar casi cualquier archivo en computadoras que ejecutan los sistemas operativos Windows y macOS. El error lo identificaron los expertos de Guardio Labs, quienes notificaron a los desarrolladores y ayudaron a cerrar la vulnerabilidad.

El problema está relacionado con la función MyFlaw integrada en el navegador, que forma parte de la extensión Opera Touch Background y no se elimina. MyFlaw permite a los usuarios tomar notas y compartir archivos entre navegadores de escritorio y móviles. Los desarrolladores de software modernos suelen ofrecer herramientas para intercambiar datos entre PC y dispositivos móviles, pero en este caso a expensas de la seguridad.

La interfaz similar a un chat para compartir archivos proporciona la función «Abrir» para cualquier mensaje con un archivo adjunto, lo que significa que los archivos se pueden ejecutar directamente desde la interfaz web, según Guardio Labs. Esto significa que el contexto de la página web tiene la capacidad de interactuar con la API del sistema para ejecutar un archivo desde el sistema de archivos, fuera del navegador, sin espacio aislado ni restricciones.

Además, los sitios web y las extensiones se pueden conectar a MyFlaw. Esto significa que un atacante puede crear una extensión maliciosa que se haga pasar por un dispositivo móvil al que se puede conectar la computadora de la víctima. Luego puede usar JavaScript para entregar un archivo malicioso que se ejecutará cuando alguien haga clic en cualquier parte de la pantalla.

Los desarrolladores de Opera recibieron una notificación de la vulnerabilidad el 17 de noviembre de 2023 y el error se solucionó el 22 de noviembre.