월의 끝에서 2019, Guardio 회사의 전문가는 크롬에 대한 에버 노트 웹 클리퍼 확장에 위험한 취약점 발견.
아르 자형esearchers 인해 에버 노트 버그의 높은 인기가 영향을 미칠 수 있다고 경고 적어도 4,600,000 사용자.취약점 식별자를 수신 CVE-2019-12592 중요한 상태. 버그는 UXSS (보편적 인 크로스 사이트 스크립팅), 이는 우회 할 수 있습니다 동일 기원 정책 (예규) 브라우저의 피해자를 대신하여 임의의 코드를 실행할 수있는 공격자의 기능을 제공합니다.
"논리 코딩 에러가 만든 도메인 분리 메커니즘을 끊고 사용자 대신 코드를 실행할 수있다 – 에버 노트의 도메인 "에 국한되지 민감한 사용자 정보에 부여 액세스, -보고 Guardio 전문가.
이 공격의 결과, 그가 방문한 다른 사이트와 관련된 사용자의 데이터는 보호되지 않습니다. 공격자는 인증 데이터에 대한 액세스를 얻을 수있다, 금융 정보, 소셜 네트워크에 개인 대화, 이메일, 쿠키, 등등.
이 모든 공격자에 의해 제어되는 리소스에 리디렉션 피해자 달성, 숨겨진 iframe을로드, 다양한 타사 자원을 대상으로. 모든 iframe으로 악성 코드를 삽입하는 세력에게 에버 노트를 이용, 페이로드는 공격자로부터 필요한 정보를 훔치는.
예시 의 PoC 이 취약점에 대한 연구자 공격은 아래에서 볼 수 있습니다.
"이 취약점은 신뢰 할수있는 출처의 확장을 추가주의 브라우저 확장을 치료에만 설치의 중요성 증거입니다", - Guardio 연구원을 체결.
에버 노트 개발자는 이제 문제를 완전히 제거했다. 에버 노트 웹 클리퍼 버전이 사용자 7.11.1 이상이 설치되어 완전히 안전합니다.
에버 노트는 수정을 발표하고 새 버전이 최신 버전이 있는지의 users.To에 출시 된, 에버 노트 크롬 확장 프로그램 페이지에서까지 머리 크롬://확장 /?식 pioclpoplcdbaefihamjohnefbikjilc (수동으로 보안상의 이유로 주소 표시 줄에 복사해야합니다) 있는지 "버전"쇼를 만들 7.11.1 이상.
