Huis » Nieuws » Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Aan het einde van mei 2019, Guardio bedrijf specialisten gevonden gevaarlijke kwetsbaarheid in de Evernote Web Clipper extensie voor Chrome.

Researchers waarschuwde dat als gevolg van de hoge populariteit van Evernote bug kunnen beïnvloeden tenminste 4,600,000 gebruikers.

Kwetsbaarheid gekregen identificator CVE-2019-12.592 en kritische toestand. De bug is UXSS (universele cross-site scripting), waardoor het omzeilen van de Same Origin Policy (SOP) van de browser en geeft de aanvaller de mogelijkheid om willekeurige code uit te voeren ten behoeve van het slachtoffer.

“Een logische codering fout hebben gemaakt is het mogelijk om domein-isolatie mechanismen te breken en uit te voeren code voor rekening van de gebruiker – het verlenen van toegang tot gevoelige informatie voor de gebruiker niet beperkt tot Evernote domein”, - gemeld Guardio specialisten.

Door deze aanval, gegevens van de gebruiker in verband met andere sites die hij bezocht wordt niet beschermd. Aanvaller kan toegang krijgen tot verificatie van gegevens te krijgen, financiële informatie, persoonlijke gesprekken op sociale netwerken, e-mails, koekjes, enzovoorts.

Dit alles bereikt door het omleiden van het slachtoffer van een bron gecontroleerd door de aanvallers, het laden van de verborgen iframes, gericht op verschillende bronnen van derden. De exploit krachten Evernote om kwaadaardige code te injecteren in alle iframes, en de payload steelt de noodzakelijke informatie van de aanvallers.

een illustratief PoC aanval door onderzoekers op dit beveiligingslek is hieronder te zien.

“Deze kwetsbaarheid is een bewijs van het belang van de behandeling van browser-extensies met extra zorg en alleen installeren van extensies van betrouwbare bronnen”, - concluderen Guardio onderzoekers.

Evernote ontwikkelaars hebben nu volledig geëlimineerd het probleem. Gebruikers die Evernote Web Clipper-versie 7.11.1 of hoger geïnstalleerd zijn volledig veilig.

Hoe om te controleren of mijn rekening is privé?

LEZEN  Exploitanten van Trickbot en IcedID Trojans gezamenlijke inspanningen en technologie

Evernote is een fix uitgegeven en een nieuwe versie is uitgerold naar haar users.To zien of u de meest recente versie, ga dan naar de Evernote Chrome-extensie-pagina op chroom://extensions /?id = pioclpoplcdbaefihamjohnefbikjilc (handmatig te worden gekopieerd naar de adresbalk om veiligheidsredenen) en zorg ervoor dat de “Versie” shows 7.11.1 of groter.

Bron: https://guard.io/blog

[Totaal: 1    Gemiddelde: 5/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Extenbro Trojan

Extenbro Trojan vervangt DNS en blokkeert de toegang tot antivirus websites

Malwarebytes Labs specialists discovered Extenbro Trojan, which not only replaces DNS for displaying advertisements, maar …

GandCrab lopers

FBI vrijgegeven meester sleutels van alle Gandcrab versies decoderen

The FBI has released master keys to decrypt files affected by Gandcrab ransomware versions 4, …

Laat een antwoord achter