Zu stehlen Dateien von Victim Benutzer Evernote Vulnerability Abused
CYBER NEWS

Zu stehlen Dateien von Victim Benutzer Evernote Vulnerability Abused

1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading ...

Eine neue Evernote Schwachstelle wurde vor kurzem angekündigt, die Hacker zu ermöglichen, hat sich gezeigt, Dateien von den Opfern kapern. Es ist ein Cross-Site-Scripting-Fehler (XSS) das gibt auch den Betreibern die Möglichkeit, beliebige Befehle auszuführen. Während ein Patch veröffentlicht wurde, bald nach seiner Veröffentlichung wurde bestätigt, dass der Fehler nach wie vor Hacker Malware-Code zu injizieren erlaubt.




Die Evernote Vulnerability Gefahr für Windows-Benutzer

Die beliebte Evernote Windows-Anwendung hat sich als anfällig für Cross-Site-Scripting gefunden, die in der Vergangenheit bekannt waren. Es wurde von der Firma im Oktober mit der Veröffentlichung einer Beta-Version gepatcht, später auf dem Update war für alle Benutzer verfügbar. Der Fehler zurück wurde dann in dem nachverfolgt CVE-2.018-18.524 Beratungs die derzeit unter Embargo.

Jedoch später auf einem Sicherheitsforscher unter dem Spitznamen bekannt Sebao gefunden wurde, dass die Datei Hijack Problem das andere Problem bleibt jedoch zugleich aufgelöst. Gepatchten Windows-Versionen der App Evernote gefunden wurden noch böswillige Benutzer zu ermöglichen, bösartigen beliebigen Code ausführen. A konzeptioneller Beweiß Demonstration wurde mit einem Foto als Nutzlast-Datei durchgeführt.

verbunden: CVE-2018-4013: Sowohl MPlayer und VLC Betroffene durch eine kritische Sicherheitslücke

Der Mechanismus der Injektion ist sehr einfach und es kann sogar durch Anfänger Hacker missbraucht werden. Es folgt ein Schritt-für-Schritt-Verfahren:

  • Ein Foto muss eine Benutzer Anmerkung hinzugefügt werden. Dies kann eine beliebige Datei, die der Benutzer verwenden könnte.
  • Wenn es unter folgendem Namen umbenannt “” Onclick =”warnen(1)”> .jpg” Evernote-Motor wird die Aktion OnClick automatisch gestartet.
  • Solche Dateien über das Internet leicht verbreitet werden können.

Durch die Verwendung von gemeinsamem XSS-Skripte war der Forscher der Lage, die Inhalte von lokalen Dateien zu lesen und die Interaktion mit dem Computer. Ein weiteres Beispiel war die Fähigkeit, eine Anwendung zu starten. Um den Lesezugriff die vollständige Offenlegung der Sicherheits Ankündigung.

Avatar

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge - Webseite

Folge mir:
ZwitschernGoogle plus

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...