Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Aan het einde van mei 2019, Guardio bedrijf specialisten gevonden gevaarlijke kwetsbaarheid in de Evernote Web Clipper extensie voor Chrome.

Researchers waarschuwde dat als gevolg van de hoge populariteit van Evernote bug kunnen beïnvloeden tenminste 4,600,000 gebruikers.

Kwetsbaarheid gekregen identificator CVE-2019-12.592 en kritische toestand. De bug is UXSS (universele cross-site scripting), waardoor het omzeilen van de Same Origin Policy (SOP) van de browser en geeft de aanvaller de mogelijkheid om willekeurige code uit te voeren ten behoeve van het slachtoffer.

“Een logische codering fout hebben gemaakt is het mogelijk om domein-isolatie mechanismen te breken en uit te voeren code voor rekening van de gebruiker – het verlenen van toegang tot gevoelige informatie voor de gebruiker niet beperkt tot Evernote domein”, - gemeld Guardio specialisten.

Door deze aanval, gegevens van de gebruiker in verband met andere sites die hij bezocht wordt niet beschermd. Aanvaller kan toegang krijgen tot verificatie van gegevens te krijgen, financiële informatie, persoonlijke gesprekken op sociale netwerken, e-mails, koekjes, enzovoorts.

Dit alles bereikt door het omleiden van het slachtoffer van een bron gecontroleerd door de aanvallers, het laden van de verborgen iframes, gericht op verschillende bronnen van derden. De exploit krachten Evernote om kwaadaardige code te injecteren in alle iframes, en de payload steelt de noodzakelijke informatie van de aanvallers.

een illustratief PoC aanval door onderzoekers op dit beveiligingslek is hieronder te zien.

“Deze kwetsbaarheid is een bewijs van het belang van de behandeling van browser-extensies met extra zorg en alleen installeren van extensies van betrouwbare bronnen”, - concluderen Guardio onderzoekers.

Evernote ontwikkelaars hebben nu volledig geëlimineerd het probleem. Gebruikers die Evernote Web Clipper-versie 7.11.1 of hoger geïnstalleerd zijn volledig veilig.

Hoe om te controleren of mijn rekening is privé?

Evernote is een fix uitgegeven en een nieuwe versie is uitgerold naar haar users.To zien of u de meest recente versie, ga dan naar de Evernote Chrome-extensie-pagina op Chrome://extensions /?id = pioclpoplcdbaefihamjohnefbikjilc (handmatig te worden gekopieerd naar de adresbalk om veiligheidsredenen) en zorg ervoor dat de “Versie” shows 7.11.1 of groter.

Bron: https://guard.io/blog

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro deskundigen ontdekte de malware CallerSpy, waarachter een Android chat-toepassing en, …

Laat een antwoord achter