🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores encontraram uma falha no Opera GX, a versão do navegador Opera voltada para jogos, que permite que um site malicioso instale silenciosamente um complemento do navegador e o use para extrair dados específicos das páginas visitadas pela vítima.
Em uma prova de conceito, eles reconstruíram o endereço completo do Gmail de um usuário conectado a partir de uma única visita, sem nenhum clique. A Opera corrigiu a falha e afirma não ter encontrado nenhuma evidência de que ela tenha sido usada em estado selvagem.
A correção vem na versão 130.0.5847.89 do Opera GX, então qualquer pessoa em uma versão atual já está coberta; você pode confirmar o seu em opera://about. Não há CVE.
Como o ataque não precisou de cliques ou aprovações, não houve solução alternativa além do patch. A equipe de recompensas de bugs do Opera classificou o problema como P1, sua gravidade máxima, e pagou o prêmio máximo de US$ 5.000 por um bug crítico.
Como funciona o ataque
Os Mods GX permitem que você reformule o Opera GX com sons, temas, papéis de parede e CSS personalizados que remodelam os sites que você visita. Eles são enviados como arquivos .crx, como extensões de navegador, mas não podem executar JavaScript e não possuem permissões.
O ponto fraco está na forma como eles são instalados: o mod pipeline do Opera baixa e ativa um mod automaticamente, sem solicitação de aprovação. Assim, uma página maliciosa pode instalar uma silenciosamente, por exemplo, carregando um iframe oculto apontado para um arquivo .crx.
O único sinal é uma barra de notificação abaixo da barra de endereço informando que um mod foi adicionado, com um botão Remover.
Esse comportamento de instalação automática não é novo. O pesquisador Renwa o identificou em 2023 e, ao transformar um mod instalado em uma extensão completa, usou-o para falsificar a barra de endereço do navegador. O Opera corrigiu esse ataque específico em março de 2023, mas deixou a instalação automática subjacente em vigor, e é nisso que esta nova pesquisa se baseia.
Um mod silencioso de aparência e comportamento parece inofensivo por si só. Mas o CSS de um mod é aplicado a todas as páginas que você visita, não apenas a uma. A injeção comum de CSS está confinada à página em que chega; aqui, o estilo do invasor atinge todos os sites que o navegador abre, uma técnica que os pesquisadores chamam de injeção universal de CSS.
CSS não pode ler uma página e enviá-la por conta própria. Mas pode ser persuadido a vazar um valor, uma peça de cada vez. O truque depende de seletores de atributos: uma regra pode testar se o valor do atributo de um elemento, como um e-mail colocado em um campo oculto, começa com uma determinada letra e buscar uma imagem de fundo do servidor do invasor somente quando isso acontece. Dispare o suficiente e você aprenderá o valor caractere por caractere.
Os pesquisadores chamam isso de XS-Leak, abreviação de vazamento entre locais. Para obter um endereço do Gmail, os pesquisadores direcionaram isso para uma página de conta do Google, myaccount.google.com/contactemail, que contém o endereço dentro de três de seus atributos HTML.
Eles empacotaram um mod com cerca de 150.000 regras CSS, um conjunto para cada possível pedaço de três letras do endereço, e deixaram um script de reconstrução unir as correspondências novamente. Eles primeiro testaram peças de quatro letras, que precisavam de 5,6 milhões de regras e cerca de 880 MB de CSS. O navegador engasgou, então eles foram reduzidos para pedaços de três letras que se sobrepunham apenas o suficiente para serem remontados.
Encadear tudo levou apenas um empurrãozinho. A vítima acessa a página do invasor, o mod é instalado em segundos e algumas linhas de JavaScript redirecionam o navegador para a página da conta do Google. O CSS do mod já está carregado lá, então ele dispara as solicitações e vaza o endereço conforme a página é renderizada, antes que a vítima possa chegar ao botão Remover do aviso.
O endereço do Gmail foi apenas uma prova de conceito; a mesma abordagem pode levantar outros valores que uma página expõe em sua marcação, como um nome de usuário.
O mesmo caminho de instalação automática tem um segundo uso mais grosseiro documentado pelos pesquisadores: carregar um .crx no modo privado (incógnito) trava o navegador e despeja todas as guias abertas. Este também atinge o Opera normal, não apenas o Opera GX, já que qualquer .crx aciona o pipeline de instalação da extensão, seja lá o que ele contenha. O comunicado do Opera aborda a correção do roubo de dados e não menciona a falha.
Gravidade e o panorama geral
O relatório quase não recebeu o devido valor. O Opera executa seu programa de recompensas no Bugcrowd, e os analistas de triagem se esforçaram para entender o que o bug fazia, primeiro classificando-o como mediano P3.
Os pesquisadores defenderam seu caso de uma forma incomumente direta: enquanto um analista reproduzia o ataque, eles capturaram os trigramas do próprio analista, reconstruíram o endereço do Gmail do analista e colaram-no no relatório. A equipe do Opera então aumentou a gravidade para P1 e pagou o máximo de US$ 5.000 no nível crítico.
O relato do próprio Opera é mais comedido. Em seu assessor, a empresa afirma estar "bastante confiante" de que a falha nunca foi explorada e classifica o ataque como complicado de realizar: a vítima teve que acessar um site malicioso, acabar com um mod novo e ignorar o aviso de remoção por tempo suficiente para que o redirecionamento fosse acionado.
A demonstração dos pesquisadores é o contrapeso
Em uma prova de conceito, eles reconstruíram o endereço completo do Gmail de um usuário conectado a partir de uma única visita, sem nenhum clique. A Opera corrigiu a falha e afirma não ter encontrado nenhuma evidência de que ela tenha sido usada em estado selvagem.
A correção vem na versão 130.0.5847.89 do Opera GX, então qualquer pessoa em uma versão atual já está coberta; você pode confirmar o seu em opera://about. Não há CVE.
Como o ataque não precisou de cliques ou aprovações, não houve solução alternativa além do patch. A equipe de recompensas de bugs do Opera classificou o problema como P1, sua gravidade máxima, e pagou o prêmio máximo de US$ 5.000 por um bug crítico.
Como funciona o ataque
Os Mods GX permitem que você reformule o Opera GX com sons, temas, papéis de parede e CSS personalizados que remodelam os sites que você visita. Eles são enviados como arquivos .crx, como extensões de navegador, mas não podem executar JavaScript e não possuem permissões.
O ponto fraco está na forma como eles são instalados: o mod pipeline do Opera baixa e ativa um mod automaticamente, sem solicitação de aprovação. Assim, uma página maliciosa pode instalar uma silenciosamente, por exemplo, carregando um iframe oculto apontado para um arquivo .crx.
O único sinal é uma barra de notificação abaixo da barra de endereço informando que um mod foi adicionado, com um botão Remover.
Esse comportamento de instalação automática não é novo. O pesquisador Renwa o identificou em 2023 e, ao transformar um mod instalado em uma extensão completa, usou-o para falsificar a barra de endereço do navegador. O Opera corrigiu esse ataque específico em março de 2023, mas deixou a instalação automática subjacente em vigor, e é nisso que esta nova pesquisa se baseia.
Um mod silencioso de aparência e comportamento parece inofensivo por si só. Mas o CSS de um mod é aplicado a todas as páginas que você visita, não apenas a uma. A injeção comum de CSS está confinada à página em que chega; aqui, o estilo do invasor atinge todos os sites que o navegador abre, uma técnica que os pesquisadores chamam de injeção universal de CSS.
CSS não pode ler uma página e enviá-la por conta própria. Mas pode ser persuadido a vazar um valor, uma peça de cada vez. O truque depende de seletores de atributos: uma regra pode testar se o valor do atributo de um elemento, como um e-mail colocado em um campo oculto, começa com uma determinada letra e buscar uma imagem de fundo do servidor do invasor somente quando isso acontece. Dispare o suficiente e você aprenderá o valor caractere por caractere.
Os pesquisadores chamam isso de XS-Leak, abreviação de vazamento entre locais. Para obter um endereço do Gmail, os pesquisadores direcionaram isso para uma página de conta do Google, myaccount.google.com/contactemail, que contém o endereço dentro de três de seus atributos HTML.
Eles empacotaram um mod com cerca de 150.000 regras CSS, um conjunto para cada possível pedaço de três letras do endereço, e deixaram um script de reconstrução unir as correspondências novamente. Eles primeiro testaram peças de quatro letras, que precisavam de 5,6 milhões de regras e cerca de 880 MB de CSS. O navegador engasgou, então eles foram reduzidos para pedaços de três letras que se sobrepunham apenas o suficiente para serem remontados.
Encadear tudo levou apenas um empurrãozinho. A vítima acessa a página do invasor, o mod é instalado em segundos e algumas linhas de JavaScript redirecionam o navegador para a página da conta do Google. O CSS do mod já está carregado lá, então ele dispara as solicitações e vaza o endereço conforme a página é renderizada, antes que a vítima possa chegar ao botão Remover do aviso.
O endereço do Gmail foi apenas uma prova de conceito; a mesma abordagem pode levantar outros valores que uma página expõe em sua marcação, como um nome de usuário.
O mesmo caminho de instalação automática tem um segundo uso mais grosseiro documentado pelos pesquisadores: carregar um .crx no modo privado (incógnito) trava o navegador e despeja todas as guias abertas. Este também atinge o Opera normal, não apenas o Opera GX, já que qualquer .crx aciona o pipeline de instalação da extensão, seja lá o que ele contenha. O comunicado do Opera aborda a correção do roubo de dados e não menciona a falha.
Gravidade e o panorama geral
O relatório quase não recebeu o devido valor. O Opera executa seu programa de recompensas no Bugcrowd, e os analistas de triagem se esforçaram para entender o que o bug fazia, primeiro classificando-o como mediano P3.
Os pesquisadores defenderam seu caso de uma forma incomumente direta: enquanto um analista reproduzia o ataque, eles capturaram os trigramas do próprio analista, reconstruíram o endereço do Gmail do analista e colaram-no no relatório. A equipe do Opera então aumentou a gravidade para P1 e pagou o máximo de US$ 5.000 no nível crítico.
O relato do próprio Opera é mais comedido. Em seu assessor, a empresa afirma estar "bastante confiante" de que a falha nunca foi explorada e classifica o ataque como complicado de realizar: a vítima teve que acessar um site malicioso, acabar com um mod novo e ignorar o aviso de remoção por tempo suficiente para que o redirecionamento fosse acionado.
A demonstração dos pesquisadores é o contrapeso
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #no #opera #gx #permite #que #sites #maliciosos #instalem #mods #automaticamente #para #roubar #dados #de #páginas #visitadas
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário