Hjem » Nyheter » Kritisk feil i Evernote-utvidelsen har satt millioner av brukere i fare

Kritisk feil i Evernote-utvidelsen har satt millioner av brukere i fare

På slutten av mai 2019, Guardio selskapet spesialister funnet farlig sårbarhet i Evernote Web Clipper-utvidelse for Chrome.

Researchers advart om at på grunn av den høye populariteten til Evernote feil kan påvirke har i det minste 4,600,000 brukere.

Sårbarheten har mottatt en identifikator CVE-2019-12592 og kritisk status. Feilen er UXSS (universell cross-site scripting), som gjør det mulig å omgå Samme Origin Regler (SOP) av nettleseren og gir angriper muligheten til å kjøre vilkårlig kode på vegne av offeret.

“Et logisk kodefeil laget er det mulig å bryte domene-isolasjon mekanismer og utføre kode på vegne av brukeren – gis tilgang til sensitiv brukerinformasjon ikke begrenset til Evernote domene”, - rapportert Guardio spesialister.

Som et resultat av dette angrepet, brukerens data knyttet til andre nettsteder som han besøkte ikke er beskyttet. Angriper kan få tilgang til autentiseringsdataene, økonomisk informasjon, personlige samtaler på sosiale nettverk, e-post, kjeks, og så videre.

Alt dette oppnås ved å omdirigere offer for en ressurs kontrollert av angriperne, lasting av skjulte iframes, rettet mot ulike tredjepartsressurser. Den utnytter kreftene Evernote å injisere ondsinnet kode i alle iframes, og nyttelasten stjal nødvendig informasjon fra angrip.

et illustrer PoC angrepet av forskere på dette sikkerhetsproblemet kan sees nedenfor.

“Dette sikkerhetsproblemet er et bevis på viktigheten av å behandle leserutvidelser med ekstra forsiktighet og kun installere utvidelser fra pålitelige kilder”, - konkludere Guardio forskere.

Evernote utviklere har nå fullstendig eliminert problemet. Brukere som har Evernote Web Clipper versjon 7.11.1 eller senere er fullstendig trygge.

Hvordan sjekke om kontoen min er privat?

LESE  In the utility that is by default installed on Dell computers found serious vulnerability

Evernote har utstedt en løsning og en ny versjon har blitt rullet ut til sin users.To se om du har den nyeste versjonen, gå over til Evernote-utvidelsen for Chrome-side på krom://utvidelser /?id = pioclpoplcdbaefihamjohnefbikjilc (har kopieres manuelt inn i adressefeltet sikkerhetsmessige grunner) og sørge for at de “versjon” show 7.11.1 eller høyere.

Kilde: https://guard.io/blog

[Totalt:1    Gjennomsnitt:5/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

RIG utnytte rekrutterings operatører begynte å fordele ERIS koder via nettverket

Security experts have long spoken about reducing the activity of exploit kits, many of them

banktjenester Trojans

Operatører av Trickbot og IcedID trojanere kombinert innsats og teknologi

Banking Trojan Trickbot fått en modul for å avskjære trafikken på en infisert maskin. Nå, …

Legg igjen et svar