Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El error Opera MyFlaw podría permitir a los piratas informáticos ejecutar CUALQUIER archivo en su Mac o Windows
  • Tecnología

El error Opera MyFlaw podría permitir a los piratas informáticos ejecutar CUALQUIER archivo en su Mac o Windows

teknomers 15 de Ocak de 2024 (Last updated: 15 de Ocak de 2024) 5 minutes read
El error Opera MyFlaw podría permitir a los piratas informáticos


15 de enero de 2024Sala de redacciónVulnerabilidad/Seguridad del navegador

Investigadores de ciberseguridad han revelado una falla de seguridad en el navegador web Opera para Microsoft Windows y Apple macOS que podría explotarse para ejecutar cualquier archivo en el sistema operativo subyacente.

El equipo de investigación de Guardio Labs ha denominado a la vulnerabilidad de ejecución remota de código como MyFlaw debido a que aprovecha una característica llamada Mi flujo que permite sincronizar mensajes y archivos entre dispositivos móviles y de escritorio.

“Esto se logra a través de una extensión controlada del navegador, evitando efectivamente la zona de pruebas del navegador y todo el proceso del navegador”, dijo la compañía. dicho en un comunicado compartido con The Hacker News.

El problema afecta tanto al navegador Opera como a Opera GX. Tras la divulgación responsable el 17 de noviembre de 2023, se abordó como parte de actualizaciones enviado el 22 de noviembre de 2023.

My Flow presenta una interfaz similar a un chat para intercambiar notas y archivos, el último de los cuales se puede abrir a través de una interfaz web, lo que significa que un archivo se puede ejecutar fuera de los límites de seguridad del navegador.

La seguridad cibernética

Está preinstalado en el navegador y se facilita mediante una extensión integrada (o interna) del navegador llamada “Opera Touch Background”, que es responsable de comunicarse con su contraparte móvil.

Esto también significa que la extensión viene con su propio archivo de manifiesto especificando todos los permisos requeridos y su comportamiento, incluida una propiedad conocida como conectable externamente que declara qué otras páginas web y extensiones pueden conectarse a él.

Ópera MyFlaw Defecto

En el caso de Opera, los dominios que pueden comunicarse con la extensión deben coincidir con los patrones “*.flow.opera.com” y “.flow.op-test.net”, ambos controlados por el propio proveedor del navegador.

“Esto expone la API de mensajería a cualquier página que coincida con los patrones de URL que especifique”, Google notas en su documentación. “El patrón de URL debe contener al menos un dominio de segundo nivel”.

Guardio Labs dijo que pudo descubrir una versión “olvidada hace mucho tiempo” de la página de inicio My Flow alojada en el dominio “web.flow.opera.com” usando la herramienta de escaneo del sitio web urlscan.io.

Error de Opera MyFlaw

“La página en sí es bastante parecida a la que se está produciendo actualmente, pero hay cambios bajo el capó: no sólo que carece de la [content security policy] metaetiqueta, pero también contiene una etiqueta de secuencia de comandos que solicita un archivo JavaScript sin ninguna verificación de integridad”, dijo la compañía.

“Esto es exactamente lo que necesita un atacante: un activo inseguro, olvidado, vulnerable a la inyección de código y, lo más importante, que tenga acceso a una API nativa de navegador con permisos (muy) altos”.

Luego, la cadena de ataque se articula, creando una extensión especialmente diseñada que se hace pasar por un dispositivo móvil para emparejarse con la computadora de la víctima y transmitir una carga maliciosa cifrada a través del archivo JavaScript modificado al host para su posterior ejecución solicitando al usuario que haga clic en cualquier lugar de la pantalla. .

La seguridad cibernética

Los hallazgos resaltan la creciente complejidad de los ataques basados ​​en navegador y los diferentes vectores que los actores de amenazas pueden explotar para su beneficio.

“A pesar de operar en entornos aislados, las extensiones pueden ser herramientas poderosas para los piratas informáticos, permitiéndoles robar información y violar los límites de seguridad del navegador”, dijo la compañía a The Hacker News.

“Esto subraya la necesidad de cambios de diseño internos en Opera y mejoras en la infraestructura de Chromium. Por ejemplo, se recomienda deshabilitar los permisos de extensión de terceros en dominios de producción dedicados, similar a la tienda web de Chrome, pero Opera aún no lo ha implementado”.

Cuando se le contactó para hacer comentarios, Opera dijo que actuó rápidamente para cerrar el agujero de seguridad e implementar una solución en el lado del servidor y que está tomando medidas para evitar que tales problemas vuelvan a ocurrir.

“Nuestra estructura actual utiliza un estándar HTML y es la opción más segura que no interrumpe la funcionalidad clave”, dijo la compañía. “Después de que Guardio nos alertara sobre esta vulnerabilidad, eliminamos la causa de estos problemas y nos aseguramos de que no aparezcan problemas similares en el futuro”.

“Nos gustaría agradecer a Guardio Labs por su trabajo para descubrir y alertarnos inmediatamente sobre esta vulnerabilidad. Esta colaboración demuestra cómo trabajamos junto con expertos e investigadores en seguridad de todo el mundo para complementar nuestros propios esfuerzos para mantener y mejorar la seguridad de nuestros productos. y garantizar que nuestros usuarios tengan una experiencia en línea segura”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La familia de Sissi asesinada responde: “Su teléfono móvil estaba apagado y ella no estaba en casa. Sentimos que algo malo había pasado”
Next: El juez lo confirma: los clientes de D-Travel recibirán la devolución del dinero de los vuelos cancelados después de más de dos años

Related Stories

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped
  • Tecnología

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped para hierbas altas y terrenos difíciles?

teknomers 12 de Temmuz de 2026
Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026
Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes:
  • Tecnología

Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes: la privacidad en línea a precio reducido

teknomers 12 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa del Mundo 2026: ¿La pelota tocó la spidercam antes del gol de Inglaterra? Snicko dice que no – Noruega tiene dudas

teknomers 12 de Temmuz de 2026
  • General

“La demanda de nuestra nación…”: El líder supremo de Irán promete vengar la muerte de su padre Ali Khamenei – Teknomers

teknomers 12 de Temmuz de 2026
Mundial: el colombiano Campaz recibe amenazas de muerte tras una
  • Deporte

Mundial: el colombiano Campaz recibe amenazas de muerte tras una ocasión fallida frente a Suiza

teknomers 12 de Temmuz de 2026
Prueba del Lymow One Plus: ¿es el mejor robot cortacésped
  • Tecnología

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped para hierbas altas y terrenos difíciles?

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.