文章总结: OperaGX存在零交互高危漏洞,恶意网站可静默安装模组,利用CSS全局生效特性实施XS-Leak攻击,逐字符窃取用户邮箱等敏感数据。该漏洞无需点击及弹窗授权,用户极难察觉与拦截。除升级至130.0.5847.89及以上版本外无缓解措施,建议立即通过opera://about检查并更新浏览器以防范数据泄露。 综合评分: 88 文章分类: 漏洞分析,漏洞POC,漏洞预警,WEB安全,数据泄露
Opera GX 浏览器存在漏洞,恶意网站可自动安装扩展模组,窃取用户访问页面中的数据
鹏鹏同学 鹏鹏同学
黑猫安全
2026年7月7日 08:57 湖北
在小说阅读器读本章
去阅读
研究人员在游戏专用浏览器 Opera GX 中发现一处漏洞:恶意网站可静默安装浏览器模组,并利用该模组窃取受害者访问页面内的敏感数据。
研究人员搭建概念验证(PoC)环境,仅需诱导用户访问恶意页面、无需用户任何点击操作,就能完整还原出登录账号对应的 Gmail 邮箱地址。Opera 官方已修复该漏洞,并表示暂未发现该漏洞被野外真实利用的痕迹。
漏洞修复版本为 Opera GX 130.0.5847.89,当前使用新版浏览器的用户已受保护;可在地址栏输入opera://about查看自身浏览器版本。该漏洞未分配 CVE 编号。
由于该攻击全程无需用户点击、无需弹窗授权,除升级补丁外无临时缓解方案。Opera 漏洞赏金团队将该漏洞定级为最高严重等级 P1,并发放高危漏洞封顶奖金 5000 美元。
攻击原理
GX Mods 是 Opera GX 专属功能,用户可通过它自定义浏览器外观:更换专属音效、主题、壁纸,还能通过 CSS 修改任意网页样式。模组文件后缀为.crx,格式与浏览器扩展一致,但模组默认无法运行 JavaScript、也不持有任何网页权限。
漏洞根源在于模组的安装机制:Opera 的模组处理流水线会自动下载并启用模组,全程无弹窗确认。恶意网页可借助隐藏 iframe 加载恶意.crx模组文件,实现静默安装。
唯一提示仅为地址栏下方的通知条,告知用户已新增模组并附带移除按钮。
这种自动安装机制并非近期新增。研究员 Renwa 早在 2023 年就披露过该机制漏洞,当时攻击者可通过安装模组并提权为完整扩展,伪造浏览器地址栏。Opera 在 2023 年 3 月针对性修复了那套攻击链路,却保留了底层自动安装逻辑,本次新型攻击正是基于该遗留机制实现。
单看美化界面的模组本身看似无害,但模组的 CSS 样式会全局作用于用户打开的所有网页,而非仅当前页面。普通 CSS 注入仅能影响注入所在页面;而该攻击中,攻击者样式可全局覆盖全部站点,研究人员将此技术命名为全域 CSS 注入。
CSS 本身无法主动读取页面并向外传输数据,但可通过构造逻辑逐字符窃取页面信息。核心手段为属性选择器:编写 CSS 规则检测页面元素属性(例如隐藏表单中存放的邮箱)的前缀字符,匹配成功后自动向攻击者服务器请求背景图片。批量构造这类检测规则,就能逐位还原完整敏感内容。
该漏洞利用技术名为XS-Leak(跨站信息泄露)。为窃取 Gmail 邮箱,研究人员将目标锁定谷歌账号邮箱页面myaccount.google.com/contactemail,该页面会在三处 HTML 属性中携带完整登录邮箱。
研究人员为恶意模组内置约 15 万条 CSS 规则,每组规则匹配邮箱的三位字符片段,再通过配套脚本拼接还原完整邮箱。团队最初尝试四位字符分段,需要 560 万条 CSS 规则、文件体积高达 880MB,会直接导致浏览器卡顿崩溃;因此调整为重叠三段式分段,在性能与还原精度之间取得平衡。
整套攻击链路衔接十分顺畅:受害者访问恶意页面后,模组数秒内静默安装完成;页面内置少量 JavaScript 将浏览器跳转至谷歌账号页面。此时恶意模组 CSS 已全局加载,页面渲染过程中会持续发起探测请求、泄露邮箱完整内容,整套流程完成速度快于用户阅读通知条、点击移除按钮的反应时间。
窃取 Gmail 邮箱仅为概念验证演示,该技术同样可提取页面 HTML 内暴露的用户名等各类明文数据。
研究人员还披露了该自动安装通道另一类更粗暴的危害:无痕(隐私)模式下加载恶意.crx文件会直接造成浏览器崩溃,并清空所有已打开标签页。该崩溃问题同时影响标准版 Opera 浏览器,并非仅 Opera GX 独有 —— 任何.crx文件都会触发扩展安装流程,无论文件内部内容。Opera 官方安全公告仅提及数据泄露漏洞修复,未说明该崩溃缺陷。
漏洞危害与背景说明
这份漏洞报告起初并未得到官方重视。Opera 通过 Bugcrowd 平台运营漏洞赏金计划,初筛分析人员未能理解漏洞危害,最初仅将其定级为中等风险 P3。
研究人员用直观方式证明漏洞严重性:在工作人员复现漏洞过程中,现场捕获该工作人员邮箱的三字符片段、完整还原其 Gmail 地址并附在报告内。Opera 团队随后将漏洞上调至最高 P1 等级,并发放 5000 美元全额高危奖金。
Opera 官方表态相对保守,安全公告中称 “有充足把握” 该漏洞未被真实网络攻击利用,并强调整套攻击流程门槛较高:受害者必须主动访问恶意站点、模组静默部署完成,且在跳转前未及时移除模组。
但研究人员的演示推翻了这一观点:页面跳转在用户看清通知条前就已执行完毕,更来不及点击移除按钮。即便整套利用逻辑繁琐复杂,官方也未监测到野外攻击,但该漏洞确实可实现零交互入侵。
该漏洞的核心风险不在于美化模组功能本身,而在于其全局作用范围。一旦模组 CSS 能跟随用户访问所有网站,单纯的样式修改功能就演变为高危数据窃取通道。
这是一类经典攻击思路的变种:常规纯 CSS 数据窃取仅局限于注入页面(如 PortSwigger 披露的盲 CSS 外带技术),而本次漏洞可让窃取样式作用于用户打开的全部站点。
这也并非 Opera 首次出现功能被滥用的安全事件:《The Hacker News》2024 年曾报道过 Opera 文件同步功能 My Flow 的 MyFlaw 漏洞;且早在 2023 年,厂商就收到过关于模组自动安装机制的安全预警,却未彻底修复底层缺陷。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《Opera GX 浏览器存在漏洞,恶意网站可自动安装扩展模组,窃取用户访问页面中的数据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论