Opera GX tarayıcısında keşfedilen kritik bir güvenlik açığı, kötü niyetli web sitelerinin kullanıcı etkileşimi olmadan otomatik olarak bir kişiselleştirme modu yüklemesine ve bu modu kullanarak kurbanın ziyaret ettiği diğer sitelerden veri çalmasına olanak tanıyor. Güvenlik araştırmacısı zhero_web_security, GX Modlarının normal uzantılardan farklı olarak hiçbir izin gerektirmediğini ve JavaScript çalıştıramadığını, ancak mod dosyası indirilir indirilmez herhangi bir izin istemi olmadan otomatik olarak kurulduğunu keşfetti. Bu sayede saldırgan, gizli bir çerçeve içinde modu barındırarak tek tıklamayla kurabiliyor.
Modun CSS stilleri tüm sayfalara ve sekmelere uygulandığı için, saldırganın CSS kodu kurbanın açtığı her web sitesine enjekte ediliyor. Normal CSS enjeksiyonu genellikle tek bir sayfayla sınırlıyken, bu açık saldırgana tüm tarayıcıda bir dayanak noktası kazandırıyor. Araştırmacı, CSS'in sayfa içeriğini doğrudan okuyamamasına rağmen, belirli içeriklere göre ağ istekleri tetikleyecek şekilde tasarlanabileceğini gösterdi. Bu yöntemle, sessiz bir yönlendirme sonrası Google hesap sayfasına giderek kurbanın tam Gmail adresini parça parça sızdıran sıfır tıklamalı bir XS-Leak saldırısı geliştirdi.
Aynı otomatik kurulum davranışı, Opera ve Opera GX'e karşı bir hizmet reddi (DoS) saldırısına da olanak tanıyordu. Chromium tabanlı tarayıcılar özel pencerelerde uzantıları engellediğinden, Incognito modunda bir mod yüklemeye zorlamak tarayıcının çökmesine ve açık sekmelerin silinmesine neden oluyordu. .crx uzantılı herhangi bir dosya, gerçek bir mod olup olmadığına bakılmaksızın bu hatayı tetikliyordu.
Araştırmacı, Şubat ayında Opera'nın Bugcrowd hata ödül programı aracılığıyla açığı bildirdi. Başlangıçta düşük öncelikli olarak işaretlenen sorun, Opera güvenlik ekibi tarafından kritik olarak yeniden değerlendirildi. Açık, 8 Mayıs'ta yamalandı ve araştırmacıya 5000 dolar ödül verildi. Kanıt konsepti (PoC) 3 Temmuz'da yayınlanırken, çalışma yama sonrası Opera GX sürüm 127.0.5778.41 üzerinde test edildi.