Die Evernote Web Clipper Für Chrome-Erweiterung wurde so dass für sensible Benutzerdaten eines sehr gefährlichen Fehler beschrieben in den CVE-2019-12592 Beratungs enthält identifiziert zu erwerb. Gemäß den veröffentlichten Informationen die Ursachen für diese Sicherheitsanfälligkeit ist ein logischer Codierungsfehler in der Anwendung.
Evernote Web Clipper Für Chrome Bug Leaks Daten nach CVE-2019-12592
Die Evernote Web Clipper - ein Sicherheitsproblem wurde in einer der beliebtesten Plugins, die von Google Chrome-Nutzer identifiziert. Dies ist eine Erweiterung, die neben der Hauptevernote-Anwendung installiert ist, wenn der Benutzer eine Google Chrome-Installation hat. Der Zweck der Web Clipper für Chrome ist mit dem Erwerb von verschiedenen Inhaltsdaten zu helfen und sie an die Applikation.
Das Problem wurde in der Art und Weise der Browser übernimmt die Same Origin Policy gefunden, ein Sicherheitsmerkmal, das die interaktiven Inhalte von Code ausgeführt wird, der auf verschiedene schädliche Aktionen zu isolieren, verwendet wird, führen kann. Der tatsächliche Fehler kann durch führende die beabsichtigten Opfer Hacker gemachten Websites in Aktion aufgerufen werden, das das Problem auslösen. Für die Zwecke des Nachweises, dass der Fehler ist real ein Proof-of-Concept vorgestellt wurde. Das Schritt-für-Schritt-Verfahren ist die folgende:
- Die Benutzer werden an die Hacker-made-Seite geführt - dies kann durch einen Link eingefügt durch verschiedene Mittel erfolgen: Anzeigen, Banner, Umleitungen und Social-Media-Profile sogar gestohlen oder gehackt.
- Nach dem Besuch der Website des Einbau-Skripte lädt bösartige Inhalte, die in verschiedenen Tags versteckt sind und automatisch durch den Browser verarbeitet.
- Eine Code-Injektion wird in den Browser gestartet werden.
- Der Code wird auf dem lokalen Rechner gestartet werden, die es ermöglicht sensible Informationen zu stehlen.
Durch missbrauchen die Angreifer können die Evernote Web Clipper Für Chrome Fehler Informationen sammeln, die die Identität der Opfer offenbaren, bestimmte Maschinen Metriken und alle innerhalb der Opfer Browser enthaltenen Daten. Des Weiteren, da dies ein skriptbasierten Ansatz können die Kriminellen auch dazu führen, böswillige Code-Ausführung. In einem Angriffsszenario ein geeignetes Verfahren zur Verfügung stellen für die Verbreitung dieses kann Kryptowährung Bergleute und andere gemeinsame Malware. Evernote hat einen Sicherheitspatch ausgegeben, und wir fordern, dass alle Benutzer ihre Desktop-Anwendungen aktualisieren und Erweiterungen.