Zuhause > Cyber ​​Aktuelles > Evernote-Sicherheitslücke missbraucht, um Dateien von Opfern zu stehlen
CYBER NEWS

Zu stehlen Dateien von Victim Benutzer Evernote Vulnerability Abused

durch   |  Last Update:  |  0 Kommentare  

Eine neue Evernote Schwachstelle wurde vor kurzem angekündigt, die Hacker zu ermöglichen, hat sich gezeigt, Dateien von den Opfern kapern. Es ist ein Cross-Site-Scripting-Fehler (XSS) das gibt auch den Betreibern die Möglichkeit, beliebige Befehle auszuführen. Während ein Patch veröffentlicht wurde, bald nach seiner Veröffentlichung wurde bestätigt, dass der Fehler nach wie vor Hacker Malware-Code zu injizieren erlaubt.




Die Evernote Vulnerability Gefahr für Windows-Benutzer

Die beliebte Evernote Windows-Anwendung hat sich als anfällig für Cross-Site-Scripting gefunden, die in der Vergangenheit bekannt waren. Es wurde von der Firma im Oktober mit der Veröffentlichung einer Beta-Version gepatcht, später auf dem Update war für alle Benutzer verfügbar. Der Fehler zurück wurde dann in dem nachverfolgt CVE-2.018-18.524 Beratungs die derzeit unter Embargo.

Jedoch später auf einem Sicherheitsforscher unter dem Spitznamen bekannt Sebao gefunden wurde, dass die Datei Hijack Problem das andere Problem bleibt jedoch zugleich aufgelöst. Gepatchten Windows-Versionen der App Evernote gefunden wurden noch böswillige Benutzer zu ermöglichen, bösartigen beliebigen Code ausführen. A konzeptioneller Beweiß Demonstration wurde mit einem Foto als Nutzlast-Datei durchgeführt.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: Sowohl MPlayer und VLC Betroffene durch eine kritische Sicherheitslücke

Der Mechanismus der Injektion ist sehr einfach und es kann sogar durch Anfänger Hacker missbraucht werden. Es folgt ein Schritt-für-Schritt-Verfahren:

  • Ein Foto muss eine Benutzer Anmerkung hinzugefügt werden. Dies kann eine beliebige Datei, die der Benutzer verwenden könnte.
  • Wenn es unter folgendem Namen umbenannt “” Onclick =”warnen(1)”> .jpg” Evernote-Motor wird die Aktion OnClick automatisch gestartet.
  • Solche Dateien über das Internet leicht verbreitet werden können.

Durch die Verwendung von gemeinsamem XSS-Skripte war der Forscher der Lage, die Inhalte von lokalen Dateien zu lesen und die Interaktion mit dem Computer. Ein weiteres Beispiel war die Fähigkeit, eine Anwendung zu starten. Um den Lesezugriff die vollständige Offenlegung der Sicherheits Ankündigung.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Adobe Patches 112 Sicherheitslücken in aktuellem Patch-Paket (CVE-2018-5007) Adobe hat das neueste Patch-Paket veröffentlicht, das eine...
  2. CVE-2019-12592: Evernote Web Clipper Für Chrome Flaw Ermöglicht Datendiebstahl The Evernote Web Clipper For Chrome extension has been identified...
  3. Evernote App Änderungen Datenschutz Mitarbeiter Die Notes-Benutzer lesen können Die berüchtigte App Evernote, standardmäßig in einigen Android installiert...
  4. Google, Microsoft Bugs Top Aus 20 Am häufigsten auftretenden Unternehmen Vulnerabilities Das Cybersicherheitsunternehmen Tenable hat gerade seinen Vulnerability Intelligence Report veröffentlicht, der...
  5. Welches ist das Secure Browser für 2015 – Firefox, Chrom, Internet Explorer, Safari Ein Web-Browser kann zweierlei sein. Eine Person, die...
  6. Benutzerdefiniertes Windows 10 Themen können missbraucht werden, um Benutzeranmeldeinformationen zu stehlen Ein Sicherheitsforscher hat festgestellt, dass Windows 10 themes can...
  7. Googles Android-Sicherheitsupdate behebt 47 Sicherheitslücken Google hat sein letztes und wahrscheinlich letztes Android-Update geliefert..
  8. CVE-2022-31656: Kritische Schwachstelle bei der Umgehung der VMware-Authentifizierung VMware hat kürzlich eine weitere Reihe von Patches veröffentlicht, die sich mit einer Reihe von Problemen befassen..

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau