Vulnerabilidade no Opera GX permite roubo de dados sem cliques

Pesquisadores descobriram uma falha crítica no Opera GX, a versão do navegador focada em jogos, que permitia que um site malicioso instalasse silenciosamente um complemento do navegador e extraísse dados específicos das páginas visitadas pela vítima. Em um teste de conceito, foi possível reconstruir o endereço completo do Gmail de um usuário logado a partir de uma única visita, sem necessidade de cliques. A Opera já corrigiu a vulnerabilidade na versão 130.0.5847.89 do navegador, afirmando que não encontrou evidências de que a falha foi explorada na prática. A vulnerabilidade foi classificada como P1 pela equipe de recompensas de bugs da Opera, que pagou o valor máximo de $5.000 pela descoberta. O problema reside na forma como os GX Mods são instalados automaticamente, sem qualquer solicitação de aprovação, permitindo que um site malicioso instale um mod silenciosamente. Embora a injeção de CSS em si não possa roubar dados, a técnica de ‘XS-Leak’ permite que informações sejam extraídas de forma gradual. A falha é preocupante, pois uma vez que o CSS de um mod é aplicado a todas as páginas visitadas, a possibilidade de roubo de dados se torna significativa. A Opera reconheceu a complexidade do ataque, mas os pesquisadores demonstraram que a exploração poderia ocorrer rapidamente, antes que a vítima pudesse reagir.

Fonte: https://thehackernews.com/2026/07/opera-gx-flaw-let-malicious-sites-auto.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
06/07/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade no Opera GX permite roubo de dados sem cliques

RESUMO EXECUTIVO
A vulnerabilidade no Opera GX representa um risco significativo para a segurança de dados, permitindo o roubo de informações sensíveis sem interação do usuário. A correção já foi implementada, mas a natureza da falha e sua exploração rápida destacam a necessidade de vigilância contínua e ações proativas por parte dos CISOs.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de dados e danos à reputação.
Operacional
Possibilidade de roubo de endereços de e-mail e outros dados sensíveis.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

Recompensa máxima de $5.000 paga pela descoberta. Indicador
150.000 regras CSS utilizadas para reconstruir o endereço do Gmail. Contexto BR
A falha foi classificada como P1, a mais alta severidade. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão do Opera GX está atualizada para a 130.0.5847.89 ou superior.
2 Orientar os usuários a evitar sites não confiáveis e a monitorar a instalação de mods.
3 Monitorar continuamente a segurança do navegador e a atividade de dados sensíveis.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dados sensíveis e a possibilidade de exploração de vulnerabilidades em navegadores amplamente utilizados.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).