Huis » Nieuws » Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Kritieke bug in de Evernote uitbreiding heeft miljoenen gebruikers in gevaar

Aan het einde van mei 2019, Guardio bedrijf specialisten gevonden gevaarlijke kwetsbaarheid in de Evernote Web Clipper extensie voor Chrome.

Researchers waarschuwde dat als gevolg van de hoge populariteit van Evernote bug kunnen beïnvloeden tenminste 4,600,000 gebruikers.

Kwetsbaarheid gekregen identificator CVE-2019-12.592 en kritische toestand. De bug is UXSS (universele cross-site scripting), waardoor het omzeilen van de Same Origin Policy (SOP) van de browser en geeft de aanvaller de mogelijkheid om willekeurige code uit te voeren ten behoeve van het slachtoffer.

“Een logische codering fout hebben gemaakt is het mogelijk om domein-isolatie mechanismen te breken en uit te voeren code voor rekening van de gebruiker – het verlenen van toegang tot gevoelige informatie voor de gebruiker niet beperkt tot Evernote domein”, - gemeld Guardio specialisten.

Door deze aanval, gegevens van de gebruiker in verband met andere sites die hij bezocht wordt niet beschermd. Aanvaller kan toegang krijgen tot verificatie van gegevens te krijgen, financiële informatie, persoonlijke gesprekken op sociale netwerken, e-mails, koekjes, enzovoorts.

Dit alles bereikt door het omleiden van het slachtoffer van een bron gecontroleerd door de aanvallers, het laden van de verborgen iframes, gericht op verschillende bronnen van derden. De exploit krachten Evernote om kwaadaardige code te injecteren in alle iframes, en de payload steelt de noodzakelijke informatie van de aanvallers.

een illustratief PoC aanval door onderzoekers op dit beveiligingslek is hieronder te zien.

“Deze kwetsbaarheid is een bewijs van het belang van de behandeling van browser-extensies met extra zorg en alleen installeren van extensies van betrouwbare bronnen”, - concluderen Guardio onderzoekers.

Evernote ontwikkelaars hebben nu volledig geëlimineerd het probleem. Gebruikers die Evernote Web Clipper-versie 7.11.1 of hoger geïnstalleerd zijn volledig veilig.

Hoe om te controleren of mijn rekening is privé?

LEZEN  Door een beveiligingslek in WP Live Chat Ondersteuning plugin maakt het stelen van logs en plaats berichten in chats

Evernote is een fix uitgegeven en een nieuwe versie is uitgerold naar haar users.To zien of u de meest recente versie, ga dan naar de Evernote Chrome-extensie-pagina op chroom://extensions /?id = pioclpoplcdbaefihamjohnefbikjilc (handmatig te worden gekopieerd naar de adresbalk om veiligheidsredenen) en zorg ervoor dat de “Versie” shows 7.11.1 of groter.

Bron: https://guard.io/blog

[Totaal: 1    Gemiddelde: 5/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

NextCry aanvallen NextCloud opslag

NextCry ransomware aanvallen NextCloud cloud storage

NextCloud gebruikers geconfronteerd met een ernstig probleem. New NextCry ransomware attacks NextCloud cloud storage and destroys

Kwetsbaarheden in Qualcomm endanger Android-apparaten

Qualcomm chip kwetsbaarheden endanger miljoenen Android-apparaten

Check Point experts found that vulnerabilities in the Qualcomm Secure Execution Environment endanger millions of

Laat een antwoord achter