Kritisk fejl i Evernote udvidelse har sat millioner af brugere i fare

I slutningen af ​​maj 2019, Guardio selskab specialister fundet farlig sårbarhed i Evernote Web Clipper udvidelse til Chrome.

Researchers advarede om, at på grund af den høje popularitet af Evernote bug kan påvirke har i det mindste 4,600,000 brugere.

Sårbarhed modtaget en identifikator CVE-2019-12.592 og kritisk status. Fejlen er UXSS (universel cross-site scripting), som tillader uden om Samme oprindelse Politik (SOP) af browseren og giver hackeren mulighed for at udføre vilkårlig kode på vegne af offeret.

”En logisk kodningsfejl gjort det muligt at bryde domæne-isolationsmekanismer og udføre kode på vegne af brugeren – at give adgang til følsomme brugeroplysninger ikke begrænset til Evernote domæne”, - rapporteret Guardio specialister.

Som et resultat af dette angreb, brugerens data, der er forbundet med andre sites, at han besøgte ikke er beskyttet. Hacker kan få adgang til autentificering af data, økonomisk information, personlige samtaler på sociale netværk, e-mails, småkager, og så videre.

Alt dette opnås ved at omdirigere offer for en ressource kontrolleret af angriberne, lastning de skjulte iframes, rettet mod forskellige tredjeparts ressourcer. Den udnytter kræfterne Evernote at injicere skadelig kode i alle iframes, og nyttelasten stjæler de nødvendige oplysninger fra angriberne.

en illustrativ PoC angreb af forskere på denne svaghed kan ses nedenfor.

”Denne sårbarhed er et bevis på vigtigheden af ​​at behandle browserudvidelser med ekstra omhu og kun installere udvidelser fra pålidelige kilder”, - konkludere Guardio forskere.

Evernote udviklere har nu fuldstændig elimineret problemet. Brugere, der har Evernote Web Clipper-version 7.11.1 eller højere installeret er helt sikker.

Kilde: https://guard.io/blog