網路安全研究人員揭露了Microsoft Windows 和 Apple macOS Opera網路瀏覽器中的一個已修補安全漏洞，該漏洞可被利用來執行底層作業系統上的任何檔案，將遠端程式碼執行漏洞代號為My Flaw，因為他利用了名為My Flow的功能，可以在行動裝置和桌面裝置之間同步訊息和檔案。

 

My Flow 具有類似聊天的介面來交換筆記和文件，可透過Web 介面打開，這表示文件可以在瀏覽器的安全邊界之外執行，預先安裝在瀏覽器中，並透過瀏覽器擴充功能來實現，此功能負責移動對應部分進行通訊。這也意味著擴充功能帶有自己的清單文件，指定所有必要的權限及行為包刮名為 externally_connectable 的屬性，該屬性也聲明了那些網頁和擴充功能可連接到它。

 

 

對於 Opera，可以與擴充功能通訊的網域與模式“*.flow.opera.com”和“.flow.op-test.net”相符 - 兩者均由瀏覽器供應商本身控制，基於瀏覽器的攻擊日益複雜，以及網路攻擊者可以利用不同的媒介來獲取優勢。

 

MyFlaw 漏洞可以被用來執行各種惡意活動:

1. 竊取受害者的各種信息，例如:密碼、信用卡號

2. 安裝惡意軟體，例如:勒索軟體、殭屍網路等

3. 控制受害者電腦

 

Opera 已於2024年1月24日發布了88.O.4427.8O版本來修復此漏洞。建議所有用戶升級到最新版本以做好保護，免受此漏洞影響。

 

參考資料:

https://thehackernews.com/2024/01/opera-myflaw-bug-could-let-hackers-run.html

https://bard.google.com/chat/c4d6cbf69dcf7a7b