Kritische Fehler in der Erweiterung hat Evernote Millionen von Nutzern gefährdet

Ende Mai 2019, Guardio Unternehmen Spezialisten gefunden gefährliche Schwachstelle in der Evernote Web Clipper-Erweiterung für Chrome.

Rorscher davor gewarnt, dass aufgrund der hohen Popularität von Evernote Fehler beeinflussen kann, hat wenigstens 4,600,000 Benutzer.

Vulnerability erhielt eine Kennung CVE-2019-12592 und kritische Status. Der Fehler ist UXSS (Universal-Cross-Site Scripting), das ermöglicht die Umgehung Same Origin Policy (SOP) des Browsers und gibt Angreifer Fähigkeit beliebigen Code im Namen des Opfers auszuführen.

„Ein logischer Codierungsfehler gemacht ist es möglich, Domain-Isolationsmechanismen zu brechen und Code im Namen des Benutzers ausführen – Gewährung des Zugangs zu sensiblen Benutzerinformationen zu Evernote Domain nicht beschränkt“, - berichtet Guardio Spezialisten.

Als Folge dieses Angriffs, Benutzer-Daten mit anderen Websites verbunden, die er besuchte nicht geschützt. Angreifer kann den Zugriff auf die Authentifizierungsdaten gewinnen, Finanzinformation, persönliche Gespräche über soziale Netzwerke, E-Mails, Kekse, und so weiter.

All dies von den Angreifern kontrolliert durch Umlenken Opfer auf eine Ressource erreicht, Laden Sie die versteckten Iframes, an verschiedenen Drittmittel gezielt. Der Exploit Kräfte Evernote bösartigen Code in alle iframes zu injizieren, und die Nutzlast stiehlt die notwendigen Informationen von den Angreifern.

ein illustratives PoC Angriff von Forschern auf dieser Sicherheitsanfälligkeit kann unten gesehen werden.

„Diese Sicherheitslücke ist ein Beweis für die Bedeutung von Browser-Erweiterungen mit besonderer Sorgfalt zu behandeln und nur Erweiterungen aus vertrauenswürdigen Quellen zu installieren“, - schließen Guardio Forscher.

Evernote-Entwickler haben jetzt das Problem vollständig beseitigt. Benutzer, die Evernote Web Clipper Version haben 7.11.1 oder höher installiert sind absolut sicher.

Wie kann man überprüfen, ob mein Konto ist privat?

Evernote hat ein Update und eine neue Version herausgegeben wurde seine users.To ausgerollt sehen, ob Sie die neueste Version, über auf die Evernote Chrome-Erweiterung Seite Kopf an Chrom://Erweiterungen /?id = pioclpoplcdbaefihamjohnefbikjilc (wird manuell in die Adressleiste aus Sicherheitsgründen kopiert werden) und stellen Sie sicher, die „Version“ zeigt 7.11.1 oder größer.

Quelle: https://guard.io/blog

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort