Hjem » Nyheder » Kritisk fejl i Evernote udvidelse har sat millioner af brugere i fare

Kritisk fejl i Evernote udvidelse har sat millioner af brugere i fare

I slutningen af ​​maj 2019, Guardio selskab specialister fundet farlig sårbarhed i Evernote Web Clipper udvidelse til Chrome.

Researchers advarede om, at på grund af den høje popularitet af Evernote bug kan påvirke har i det mindste 4,600,000 brugere.

Sårbarhed modtaget en identifikator CVE-2019-12.592 og kritisk status. Fejlen er UXSS (universel cross-site scripting), som tillader uden om Samme oprindelse Politik (SOP) af browseren og giver hackeren mulighed for at udføre vilkårlig kode på vegne af offeret.

”En logisk kodningsfejl gjort det muligt at bryde domæne-isolationsmekanismer og udføre kode på vegne af brugeren – at give adgang til følsomme brugeroplysninger ikke begrænset til Evernote domæne”, - rapporteret Guardio specialister.

Som et resultat af dette angreb, brugerens data, der er forbundet med andre sites, at han besøgte ikke er beskyttet. Hacker kan få adgang til autentificering af data, økonomisk information, personlige samtaler på sociale netværk, e-mails, småkager, og så videre.

Alt dette opnås ved at omdirigere offer for en ressource kontrolleret af angriberne, lastning de skjulte iframes, rettet mod forskellige tredjeparts ressourcer. Den udnytter kræfterne Evernote at injicere skadelig kode i alle iframes, og nyttelasten stjæler de nødvendige oplysninger fra angriberne.

en illustrativ PoC angreb af forskere på denne svaghed kan ses nedenfor.

”Denne sårbarhed er et bevis på vigtigheden af ​​at behandle browserudvidelser med ekstra omhu og kun installere udvidelser fra pålidelige kilder”, - konkludere Guardio forskere.

Evernote udviklere har nu fuldstændig elimineret problemet. Brugere, der har Evernote Web Clipper-version 7.11.1 eller højere installeret er helt sikker.

Hvordan at kontrollere, om min konto er privat?

LÆS  Evernote released a patch for a gap that allowed intruders performing any code on macOS

Evernote har udsendt en rettelse og en ny version er blevet rullet ud til sin users.To se, om du har den nyeste version, hovedet over til Evernote Chrome udvidelse side på krom://udvidelser /?id = pioclpoplcdbaefihamjohnefbikjilc (har manuelt kopieres i adresselinjen af ​​sikkerhedsmæssige årsager) og sørg for, ”Version” viser 7.11.1 eller større.

Kilde: https://guard.io/blog

[i alt: 1    Gennemsnit: 5/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Emotet trojan

Global Threat Indeks: Emotet botnet suspenderet sine aktiviteter

Check Point Research hold (en division af Check Point) published a Global Threat

wordpress

Sårbarhed i plugin til WordPress lov til at eksekvere PHP-kode via fjernadgang

Information security specialists from Wordfence have found the vulnerability of the Ad Inserter plugin for

Skriv et svar