امنیت

January 21, 2024
8:40 یکشنبه، 1ام بهمنماه 1402
کد خبر: 158720

امکان اجرای فایل دلخواه توسط مهاجم به دنبال آسیب‌پذیری جدید Opera

منبع: ماهر

محققان امنیت سایبری اخیراً یک نقص امنیتی را در مرورگر وب Opera برای سیستم‌عامل ویندوز و macOS کشف کردند. این نقص که به نام MyFlaw شناخته می‌شود، با بهره‌برداری از ویژگی “My Flow”، امکان همگام‌سازی پیام‌ها و فایل‌ها را بین دستگاه‌های تلفن‌همراه و دسکتاپ برای مهاجم فراهم می‌کند. این آسیب‌پذیری اجرای کد از راه دور را ممکن کرده و امکان اجرای هر فایلی را در سیستم‌عامل اصلی میسر می‌سازد. این نقص از یک افزونه مرورگر کنترل‌شده برای دور زدنsandbox مرورگر و هر فرآیند امنیتی، استفاده می‌کند.
ویژگی My Flow برای تبادل اطلاعات و فایل‌ها با رابطی شبیه به چت طراحی شده است و به وسیله آن می‌توان فایل‌ها را از طریق یک رابط وب باز کرد و به آنها اجازه داد به طور بالقوه خارج از مرزهای امنیتی مرورگر، اجرا شوند.
My Flow از قبل در مرورگر نصب شده ‌است و برای همگام‌سازی با نسخه تلفن‌همراه، به یک افزونه داخلی به نام “Opera Touch Background” متکی ‌است. این افزونه دارای فایلmanifest خاص خود است که مجوزها و دسترسی‌ها را مشخص می‌کند، از جمله ویژگی externally_connectable، اتصالات به صفحات وب و برنامه‌های افزودنی دیگر.
فرآیند حمله شامل ایجاد یک افزونه فریبنده است که به عنوان رابط دستگاه تلفن همراه ظاهر می‌شود. این افزونه با رایانه قربانی جفت می‌شود و یک دیتای مخرب رمزگذاری شده را از طریق فایل جاوا اسکریپت ارسال می‌کند. سپس حمله با درخواست از سمت کاربر برای کلیک کردن در هر نقطه از صفحه اجرا می‌شود.

توصیه‌های امنیتی
به کاربران توصیه می‌شود برای کاهش خطرات احتمالی امنیتی، مرورگرهای خود را به آخرین نسخه وصله‌شده به‌روزرسانی کنند و همچنین غیرفعال کردن دسترسی غیرضروری افزونه‌ها را در اقدامات امنیتی خود قرار دهند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.