Den Evernote Web Clipper For Chrome udvidelse er blevet identificeret til at indeholde en meget farlig fejl beskrevet i CVE-2019-12.592 rådgivende giver mulighed for følsomme brugerdata, der skal erhverves. Ifølge de frigivne oplysninger årsagen til denne sårbarhed er en logisk kodning fejl i ansøgningen.
Evernote Web Clipper For Chrome Bug lækager data i henhold til CVE-2019-12.592
Et sikkerhedsproblem er blevet identificeret i en af de mest populære plugins bruges af Google Chrome-brugere - Den Evernote Web Clipper. Dette er en udvidelse, der er installeret ved siden af vigtigste Evernote ansøgning, hvis brugeren har en Google Chrome installation. Formålet med Web Clipper til Chrome er at hjælpe med køb af forskellige data indhold og sende den til ansøgningen.
Problemet er blevet fundet i den måde browseren håndterer politik samme oprindelse, en sikkerhedsfunktion, som bruges til at isolere de interaktive indhold fra at køre kode, der kan føre til forskellige ondsindede handlinger. Den aktuelle fejl kan kaldes til handling ved at føre de tilsigtede ofre for hacker-udformet steder, der vil udløse problemet. Med henblik på at bevise, at fejlen er reel et proof-of-concept er blevet præsenteret. Trin-for-trin proces er følgende:
- Brugerne er ført til hacker-made side - dette kan gøres ved et link indsat gennem forskellige midler: annoncer, bannere, omdirigeringer og endda stjålet eller hacket sociale medier profiler.
- Ved at besøge webstedet de indbyggede scripts vil indlæse ondsindet indhold, der er skjult i forskellige tags og automatisk behandles af de browsere.
- En kode injektion vil blive lanceret i browsere.
- Koden vil blive lanceret på den lokale vært gør det muligt at stjæle følsomme oplysninger.
Ved at misbruge Evernote Web Clipper For Chrome fejl angriberne kan indsamle oplysninger, der kan afsløre identiteten på ofrene, visse maskine målinger og alle data, der er indeholdt i offeret browsere. Desuden, da dette er et script-baseret tilgang de kriminelle kan også forårsage ondsindet programkode. I et angrebsscenarie kan dette tilvejebringe en egnet fremgangsmåde til spredning cryptocurrency minearbejdere og andre fælles malware. Evernote har udsendt en sikkerhedsrettelse, og vi opfordrer til, at alle brugere opdaterer deres desktop apps og udvidelser.