Kritische Fehler in der Erweiterung hat Evernote Millionen von Nutzern gefährdet

Ende Mai 2019, Guardio Unternehmen Spezialisten gefunden gefährliche Schwachstelle in der Evernote Web Clipper-Erweiterung für Chrome.

Rorscher davor gewarnt, dass aufgrund der hohen Popularität von Evernote Fehler beeinflussen kann, hat wenigstens 4,600,000 Benutzer.

Vulnerability erhielt eine Kennung CVE-2019-12592 und kritische Status. Der Fehler ist UXSS (Universal-Cross-Site Scripting), das ermöglicht die Umgehung Same Origin Policy (SOP) des Browsers und gibt Angreifer Fähigkeit beliebigen Code im Namen des Opfers auszuführen.

„Ein logischer Codierungsfehler gemacht ist es möglich, Domain-Isolationsmechanismen zu brechen und Code im Namen des Benutzers ausführen – Gewährung des Zugangs zu sensiblen Benutzerinformationen zu Evernote Domain nicht beschränkt“, - berichtet Guardio Spezialisten.

Als Folge dieses Angriffs, Benutzer-Daten mit anderen Websites verbunden, die er besuchte nicht geschützt. Angreifer kann den Zugriff auf die Authentifizierungsdaten gewinnen, Finanzinformation, persönliche Gespräche über soziale Netzwerke, E-Mails, Kekse, und so weiter.

All dies von den Angreifern kontrolliert durch Umlenken Opfer auf eine Ressource erreicht, Laden Sie die versteckten Iframes, an verschiedenen Drittmittel gezielt. Der Exploit Kräfte Evernote bösartigen Code in alle iframes zu injizieren, und die Nutzlast stiehlt die notwendigen Informationen von den Angreifern.

ein illustratives PoC Angriff von Forschern auf dieser Sicherheitsanfälligkeit kann unten gesehen werden.

„Diese Sicherheitslücke ist ein Beweis für die Bedeutung von Browser-Erweiterungen mit besonderer Sorgfalt zu behandeln und nur Erweiterungen aus vertrauenswürdigen Quellen zu installieren“, - schließen Guardio Forscher.

Evernote-Entwickler haben jetzt das Problem vollständig beseitigt. Benutzer, die Evernote Web Clipper Version haben 7.11.1 oder höher installiert sind absolut sicher.

Quelle: https://guard.io/blog