Evernote Sårbarhed Misbrugt at stjæle filer fra Offer Brugere
CYBER NEWS

Evernote Sårbarhed Misbrugt at stjæle filer fra Offer Brugere

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

En ny Evernote sårbarhed blev for nylig annonceret som har vist sig at give hackere at kapre filer fra ofrene. Det er en cross-site scripting fejl (XSS) som også giver operatørerne mulighed for at udføre vilkårlige kommandoer. Mens en patch blev frigivet, kort efter sin løsladelse blev det bekræftet, at fejlen stadig lov hackere at injicere malware kode.




Den Evernote Sårbarhed Fare Windows-brugere

Den populære Evernote Windows-applikation har vist sig at være sårbare over for en cross-site scripting, som var kendt i fortiden. Den blev lappet af selskabet tilbage i oktober med udgivelsen af ​​en beta-version, senere på rettelsen var tilgængelige for alle brugere. Fejlen blev dengang spores i CVE-2018-18.524 rådgivende som i øjeblikket er under embargo.

Men senere på en sikkerhedsekspert kendt under kælenavnet Sebao har fundet, at filen hijack problemet blev løst dog samtidig det andet problem er stadig. Lappet Windows-versioner af Evernote app har vist sig at stadig tillade ondsindede brugere at udføre ondsindet vilkårlig kode. A proof-of-concept Demonstrationen blev udført ved hjælp af et foto som nyttelast fil.

Relaterede: CVE-2018-4013: MPlayer og VLC Begge Påvirket af en kritisk sårbarhed

Mekanismen af ​​injektion er meget enkel, og det kan blive misbrugt selv af nybegynder hackere. Den følger en trin-for-trin proces:

  • Et foto skal føjes til en bruger notat. Dette kan være en hvilken som helst fil, som brugeren kan bruge.
  • Når den er omdøbt med følgende navn “” onclick =”alert(1)”> .jpg” Evernote motor vil automatisk starte onclick handling.
  • Sådanne filer kan let spredes på internettet.

Ved at bruge fælles XSS scripts forskeren var i stand til at læse indholdet af lokale filer og interagere med computeren. Et andet eksempel var evnen til at starte et program. For at læse fuld offentliggørelse adgang for annoncering sikkerhed.

Avatar

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg - Websted

Følg mig:
TwitterGoogle Plus

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...