Guardioは1月15日(現地時間)、「“MyFlaw” - Cross Platform 0-Day RCE Vulnerability Discovered in Opera’s Browser|by Guardio|Jan, 2024|Medium」において、Webブラウザ「Opera」からゼロデイのリモートコード実行(RCE: Remote Code Execution)の脆弱性を発見したとして、注意を喚起した。

この脆弱性はプラットフォーム非依存で、WindowsおよびmacOS上で動作するという。脆弱性は2023年11月17日にOperaチームに報告され、11月22日までに修正された。ユーザーによる対策は必要ないものとみられる。

“MyFlaw” - Cross Platform 0-Day RCE Vulnerability Discovered in Opera’s Browser|by Guardio|Jan, 2024|Medium

○「Opera」のゼロデイ脆弱性の概要

Guardioによると、この脆弱性は特別に細工されたブラウザ拡張機能を使用する。Operaには「MyFlow」と呼ばれる機能が存在し、デスクトップ環境とモバイルデバイス間でメモやファイルを共有できる。このインタフェースはチャットアプリのような仕組みになっており、メッセージに添付されたファイルを開いて実行する機能を持つ。これはブラウザのサンドボックスの外側でファイルを実行できることを意味する。

Operaはこの機能が悪用されるのを回避するため、保護機能を採用している。そのため、通常はOperaが管理するドメインおよびサブドメインのWebページ以外からこの機能を使用することはできない。しかしながら、Guardioは「urlscan.io」を使用することで、MyFlowの過去のWebページの中から保護が機能していない脆弱なページを発見。このページを悪用することで、拡張機能のインストール時に実質的なゼロクリック(実際には1クリック)によるファイルのダウンロードと実行に成功した。

脆弱性の悪用手順 引用:Guardio

○Operaが実施した対策

Operaチームはこの脆弱性の報告を受けて、脆弱なMyFlowのWebページをすべて削除する対策を実施した。このため、現在はこの脆弱性を悪用できないとみられる。しかしながら、Guardioは将来的に同様の問題が再発する可能性が残っているとして、各種ブラウザのコードベースとなっている「Chromium」のインフラストラクチャ全般と、Operaの内部設計を変更する必要があると指摘している。

また、Guardioはこの脆弱性の検証のために作成した概念実証(PoC: Proof of Concept)コードを公開しないことを決定している。これは、この概念実証コードの悪用リスクが依然として存在するため。将来、Operaを含めたブラウザ全般において、クロスサイトスクリプティング(XSS: Cross-Site Scripting)や拡張機能の悪用に対する脆弱性が誤って導入された場合、悪用される可能性があるとしており、問題の根本的な解決には至っていないことを示唆している。