bug crítico no prolongamento Evernote colocou milhões de usuários em risco

No final de Maio 2019, especialistas da empresa Guardio encontrado vulnerabilidade perigosa na extensão Evernote Web Clipper para o Chrome.

Resquisadores advertiu que, devido à alta popularidade do Evernote bug pode afetar tem finalmente 4,600,000 Comercial.

Vulnerabilidade recebeu um identificador CVE-2019-12592 e estado crítico. O bug é UXSS (cross-site scripting universal), o que permite contornar o Política de Origem mesma (SOP) do navegador e dá capacidade invasor executar código arbitrário em nome da vítima.

“Um erro de codificação lógica feita é possível quebrar os mecanismos de domínio de isolamento e executar código em nome do usuário – concessão de acesso a informações confidenciais do usuário não se limitando ao domínio da Evernote”, - especialistas Guardio relatados.

Como resultado deste ataque, dados do usuário associados com outros sites que ele visitou não está protegida. Atacante pode obter acesso a dados de autenticação, informação financeira, conversas pessoais em redes sociais, e-mails, biscoitos, e assim por diante.

Tudo isso atingida reorientando vítima de um recurso controlado pelos atacantes, carregar os iframes escondidos, dirigido a vários recursos de terceiros. A exploração forças Evernote para injetar código malicioso em todos os iframes, ea carga rouba as informações necessárias dos atacantes.

um ilustrativo PoC ataque por pesquisadores sobre essa vulnerabilidade pode ser visto abaixo.

“Esta vulnerabilidade é uma prova da importância de tratar as extensões do navegador com cuidado extra e só instalar extensões de fontes confiáveis”, - concluem os pesquisadores Guardio.

desenvolvedores Evernote já eliminou completamente o problema. Os usuários que têm versão Evernote Web Clipper 7.11.1 ou superior instalado são completamente seguros.

Como verificar se a minha conta é privado?

Evernote emitiu uma correção e uma nova versão foi lançada para a sua users.To ver se você tem a versão mais recente, cabeça para a página de extensão Evernote Chrome em cromada://extensões /?id = pioclpoplcdbaefihamjohnefbikjilc (tem de ser copiados manualmente na barra de endereços por razões de segurança) e certifique-se os shows “versão” 7.11.1 ou melhor.

Fonte: https://guard.io/blog

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta