Kritisk feil i Evernote-utvidelsen har satt millioner av brukere i fare

På slutten av mai 2019, Guardio selskapet spesialister funnet farlig sårbarhet i Evernote Web Clipper-utvidelse for Chrome.

Researchers advart om at på grunn av den høye populariteten til Evernote feil kan påvirke har i det minste 4,600,000 brukere.

Sårbarheten har mottatt en identifikator CVE-2019-12592 og kritisk status. Feilen er UXSS (universell cross-site scripting), som gjør det mulig å omgå Samme Origin Regler (SOP) av nettleseren og gir angriper muligheten til å kjøre vilkårlig kode på vegne av offeret.

“Et logisk kodefeil laget er det mulig å bryte domene-isolasjon mekanismer og utføre kode på vegne av brukeren – gis tilgang til sensitiv brukerinformasjon ikke begrenset til Evernote domene”, - rapportert Guardio spesialister.

Som et resultat av dette angrepet, brukerens data knyttet til andre nettsteder som han besøkte ikke er beskyttet. Angriper kan få tilgang til autentiseringsdataene, økonomisk informasjon, personlige samtaler på sosiale nettverk, e-post, kjeks, og så videre.

Alt dette oppnås ved å omdirigere offer for en ressurs kontrollert av angriperne, lasting av skjulte iframes, rettet mot ulike tredjepartsressurser. Den utnytter kreftene Evernote å injisere ondsinnet kode i alle iframes, og nyttelasten stjal nødvendig informasjon fra angrip.

et illustrer PoC angrepet av forskere på dette sikkerhetsproblemet kan sees nedenfor.

“Dette sikkerhetsproblemet er et bevis på viktigheten av å behandle leserutvidelser med ekstra forsiktighet og kun installere utvidelser fra pålitelige kilder”, - konkludere Guardio forskere.

Evernote utviklere har nå fullstendig eliminert problemet. Brukere som har Evernote Web Clipper versjon 7.11.1 eller senere er fullstendig trygge.

Kilde: https://guard.io/blog