bug crítico no prolongamento Evernote colocou milhões de usuários em risco

No final de Maio 2019, especialistas da empresa Guardio encontrado vulnerabilidade perigosa na extensão Evernote Web Clipper para o Chrome.

Vulnerabilidade recebeu um identificador CVE-2019-12592 e estado crítico. O bug é UXSS (cross-site scripting universal), o que permite contornar o Política de Origem mesma (SOP) do navegador e dá capacidade invasor executar código arbitrário em nome da vítima.

“Um erro de codificação lógica feita é possível quebrar os mecanismos de domínio de isolamento e executar código em nome do usuário – concessão de acesso a informações confidenciais do usuário não se limitando ao domínio da Evernote”, - especialistas Guardio relatados.

Como resultado deste ataque, dados do usuário associados com outros sites que ele visitou não está protegida. Atacante pode obter acesso a dados de autenticação, informação financeira, conversas pessoais em redes sociais, e-mails, biscoitos, e assim por diante.

Tudo isso atingida reorientando vítima de um recurso controlado pelos atacantes, carregar os iframes escondidos, dirigido a vários recursos de terceiros. A exploração forças Evernote para injetar código malicioso em todos os iframes, ea carga rouba as informações necessárias dos atacantes.

um ilustrativo PoC ataque por pesquisadores sobre essa vulnerabilidade pode ser visto abaixo.

“Esta vulnerabilidade é uma prova da importância de tratar as extensões do navegador com cuidado extra e só instalar extensões de fontes confiáveis”, - concluem os pesquisadores Guardio.

desenvolvedores Evernote já eliminou completamente o problema. Os usuários que têm versão Evernote Web Clipper 7.11.1 ou superior instalado são completamente seguros.

Fonte: https://guard.io/blog