В браузере Opera на движке Chromium нашли критическую уязвимость. В изначальный движок Chromium разработчики Оперы добавили приватные API, которые позволяли выполнять пользовательским расширениям любой код, загруженный с "доверенных" доменов (Opera Browser Permissive Domains). В число этих "доверенных" доменов входили рабсийские VK и Яндекс, а также Instagram и Atlassian.

Что мог бы делать такой код с "доверенных" доменов:
- делать скриншоты всех вкладок (неважно, что за сайт именно там открыт)
- получать доступ ко всем авторизационным сессиям и cookies
- а также получить изменять любые настройки браузера, включая, но не ограничиваясь DNS-настройками (в том числе DNS over HTTPS): т.е. вы ввели endchan[.]org, а браузер любезно бы вам открыл tochno-ne-fsb[.]org

> Combining all the above together, we can create a simple extension proof of concept and see how we activate those permissive APIs. There are many accessible APIs, some are more obvious for direct exploitation, such as:

> Using chrome.cookies (the default Chromium API is also used in Opera) to extract all session cookies and hijack accounts
> pinboardPrivate with which you can take screenshots of all open tabs.
> settingsPrivate that will allow you to read and change ANY of your browser settings! Like forcing a rogue search engine to smuggle out your activity, disable internal protection features, or even worse…
В статье также описан пример "невинного" расширения в сторе с щеночками, которое, однако, подменяет DNS и делает скриншоты браузера
https://labs.guard.io/crossbarking-exploiting-a-0-day-opera-vulnerability-with-a-cross-browser-extension-store-attack-db3e6d6e6aa8

Список "доверенных" доменов по версии Оперы:
opera[.]com