Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Aan het einde van mei 2019, Guardio bedrijf specialisten gevonden gevaarlijke kwetsbaarheid in de Evernote Web Clipper extensie voor Chrome.

Researchers waarschuwde dat als gevolg van de hoge populariteit van Evernote bug kunnen beïnvloeden tenminste 4,600,000 gebruikers.

Kwetsbaarheid gekregen identificator CVE-2019-12.592 en kritische toestand. De bug is UXSS (universele cross-site scripting), waardoor het omzeilen van de Same Origin Policy (SOP) van de browser en geeft de aanvaller de mogelijkheid om willekeurige code uit te voeren ten behoeve van het slachtoffer.

“Een logische codering fout hebben gemaakt is het mogelijk om domein-isolatie mechanismen te breken en uit te voeren code voor rekening van de gebruiker – het verlenen van toegang tot gevoelige informatie voor de gebruiker niet beperkt tot Evernote domein”, - gemeld Guardio specialisten.

Door deze aanval, gegevens van de gebruiker in verband met andere sites die hij bezocht wordt niet beschermd. Aanvaller kan toegang krijgen tot verificatie van gegevens te krijgen, financiële informatie, persoonlijke gesprekken op sociale netwerken, e-mails, koekjes, enzovoorts.

Dit alles bereikt door het omleiden van het slachtoffer van een bron gecontroleerd door de aanvallers, het laden van de verborgen iframes, gericht op verschillende bronnen van derden. De exploit krachten Evernote om kwaadaardige code te injecteren in alle iframes, en de payload steelt de noodzakelijke informatie van de aanvallers.

een illustratief PoC aanval door onderzoekers op dit beveiligingslek is hieronder te zien.

“Deze kwetsbaarheid is een bewijs van het belang van de behandeling van browser-extensies met extra zorg en alleen installeren van extensies van betrouwbare bronnen”, - concluderen Guardio onderzoekers.

Evernote ontwikkelaars hebben nu volledig geëlimineerd het probleem. Gebruikers die Evernote Web Clipper-versie 7.11.1 of hoger geïnstalleerd zijn volledig veilig.

Bron: https://guard.io/blog