Al final de Mayo 2019, especialistas de la compañía Guardio encontraron peligrosa vulnerabilidad en la extensión de Evernote Web Clipper para Chrome.
Ros investigadores advirtieron que debido a la gran popularidad de Evernote fallo puede afectar tiene al menos 4,600,000 usuarios.Vulnerabilidad recibido un identificador CVE-2019-12.592 y el estado crítico. El error es UXSS (secuencias de comandos entre sitios universales), que permite pasar por el Política de Origen misma (COMPENSACIÓN) del navegador y le da la capacidad atacante para ejecutar código arbitrario en nombre de la víctima.
“Un error de codificación lógica hizo que es posible romper los mecanismos de dominio de aislamiento y ejecutar código en nombre del usuario – la concesión de acceso a la información confidencial del usuario no se limita al dominio de Evernote”, - especialistas Guardio reportados.
Como resultado de este ataque, los datos de usuario asociados con otros sitios que visitó no está protegido. Atacante puede obtener acceso a los datos de autenticación, información financiera, conversaciones personales en las redes sociales, mensajes de correo electrónico, galletas, y así.
Todo esto logra mediante la reorientación de las víctimas a un recurso controlado por los atacantes, cargar los iframes ocultos, dirigida a los diversos recursos de terceros. El exploit fuerzas Evernote para inyectar código malicioso en todos los marcos flotantes, y la carga útil roba la información necesaria de los atacantes.
Un ilustrativos PoC ataque por los investigadores sobre esta vulnerabilidad puede verse a continuación.
“Esta vulnerabilidad es un testimonio de la importancia de tratar las extensiones del navegador con mucho cuidado y sólo la instalación de extensiones de fuentes de confianza”, - la conclusión de los investigadores Guardio.
desarrolladores de Evernote ahora han eliminado por completo el problema. Los usuarios que tienen la versión de Evernote Web Clipper 7.11.1 o superior instalado son totalmente seguros.
Evernote ha emitido una solución y una nueva versión se ha lanzado a su users.To ver si tiene la versión más reciente, diríjase a la página de extensión de Chrome en Evernote Cromo://extensiones /?id = pioclpoplcdbaefihamjohnefbikjilc (tiene que ser copiado manualmente en la barra de direcciones por razones de seguridad) y asegurarse de que los programas de “versión” 7.11.1 o mayor.
Fuente: https://guard.io/blog