En ny Evernote sårbarhed blev for nylig annonceret som har vist sig at give hackere at kapre filer fra ofrene. Det er en cross-site scripting fejl (XSS) som også giver operatørerne mulighed for at udføre vilkårlige kommandoer. Mens en patch blev frigivet, kort efter sin løsladelse blev det bekræftet, at fejlen stadig lov hackere at injicere malware kode.
Den Evernote Sårbarhed Fare Windows-brugere
Den populære Evernote Windows-applikation har vist sig at være sårbare over for en cross-site scripting, som var kendt i fortiden. Den blev lappet af selskabet tilbage i oktober med udgivelsen af en beta-version, senere på rettelsen var tilgængelige for alle brugere. Fejlen blev dengang spores i CVE-2018-18.524 rådgivende som i øjeblikket er under embargo.
Men senere på en sikkerhedsekspert kendt under kælenavnet Sebao har fundet, at filen hijack problemet blev løst dog samtidig det andet problem er stadig. Lappet Windows-versioner af Evernote app har vist sig at stadig tillade ondsindede brugere at udføre ondsindet vilkårlig kode. A proof-of-concept Demonstrationen blev udført ved hjælp af et foto som nyttelast fil.
Mekanismen af injektion er meget enkel, og det kan blive misbrugt selv af nybegynder hackere. Den følger en trin-for-trin proces:
- Et foto skal føjes til en bruger notat. Dette kan være en hvilken som helst fil, som brugeren kan bruge.
- Når den er omdøbt med følgende navn “” onclick =”alert(1)”> .jpg” Evernote motor vil automatisk starte onclick handling.
- Sådanne filer kan let spredes på internettet.
Ved at bruge fælles XSS scripts forskeren var i stand til at læse indholdet af lokale filer og interagere med computeren. Et andet eksempel var evnen til at starte et program. For at læse fuld offentliggørelse adgang for annoncering sikkerhed.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: