在大多数用户已经升级到 Opera 浏览器新版本后，已修研究人员终于可以放心的浏览披露该浏览器中存在的一个高危安全漏洞：Opera for Windows & Mac 版存在的漏洞可被用来执行任意文件。

这个漏洞应该属于 Opera 的器出全漏请升无心之失，Opera 浏览器有个功能名为 My Flow，现高通过类似聊天界面来交换笔记和文件，危安文件然后可以通过浏览器打开。洞可点网

这个功能使用 Opera 的执行最新白名单域名.flow.Opera.com 和 *.flow.op-test.net，这两个域名都由 Opera 自己控制，任意还有个是版蓝被 Opera 遗忘的域名：web.flow.Opera.com，这个域名一直托管着老旧的已修 My Flow 登录页面。

研究人员发现，浏览只需要诱导用户安装一个恶意扩展，器出全漏请升或者通过收购某个知名扩展程序来嵌入恶意代码，现高当浏览器自动更新扩展程序时，危安文件攻击者就可以行动了。洞可点网

扩展程序利用被遗忘的 web.flow 域名执行恶意 JavaScript 代码，然后再通过 Opera 的一个组件进行逃逸，这里的逃逸指的是逃出沙盒，尽管扩展程序是在沙盒里运行的，但可以利用漏洞逃逸恶意代码。

最终形成的效果就是可以用来创建或执行任意文件，当然这个问题也暴露出 Opera 的内部设计变更和对 Chromium 基础设施变更的脆弱性。

由于 Chromium 早就限制了扩展程序的权限，Opera 并未同步因此扩展程序有可乘之机。

目前该漏洞已经在 Opera 新版本中修复，建议使用 Opera 以及 Opera GX 浏览器的用户升级到最新版本确保安全。

• ·腩潮鲜牛腩暖锅为甚么这么受招待
• ·仄台支益没有佳周边去凑 CDPR表示要开民圆商品店！
• ·马云为数教获奖者颁奖：我下考数教考1分是事真
• ·阐收师：建议谷歌Stadia采纳游戏永暂采办的贸易形式
• ·时尚女王苏芒跨界知识效率，《活出漂亮人生》课程上线
• ·云南UFO事件 视频佐证夜空神秘发光圆球
• ·百思购商乡又建功！《任天国明星大年夜治斗》Joker的3D中型暴光
• ·战略新做《星际叛军》灵感去历《灭亡细胞》 去岁出售
• ·香煎椒盐三文鱼骨的做法
• ·世嘉也恶做剧 新《如龙》变身回开制传统JRPG
• ·中媒：CDPR表示《赛专朋克2077》开辟将远完成
• ·《终究胡念14》项目组改名 新做开辟招募人足中
• ·海信或者将把彩墨屏手机发挥光大
• ·白米与《复联4》达成开做 超等豪杰用白米足机挨德律风？
• ·确切没有易？古晨已有三成玩家胜利挨败了《只狼》尾个BOSS胡蝶婆婆
• ·《内部天下》20分钟视频演示放出 开启宇宙殖仄易远期间