La extensión Evernote Web Clipper para el cromo ha sido identificado para contener un defecto muy peligroso descrito en el aviso CVE-2.019 a 12.592 que permite para datos de usuario sensibles a ser adquiridos. De acuerdo con la información dada a conocer la causa de esta vulnerabilidad es un error de codificación de lógica en la solicitud.
Evernote Web Clipper para Chrome Fugas de errores datos de acuerdo con CVE-2019-12592
Un problema de seguridad ha sido identificado en uno de los plugins más populares utilizados por los usuarios de Google Chrome - El Evernote Web Clipper. Esta es una extensión que se instala junto con la aplicación principal de Evernote si el usuario dispone de una instalación de Google Chrome. El propósito de Web Clipper para Chrome es ayudar con la adquisición de diferentes datos de contenido y enviarlo a la aplicación.
El problema se ha encontrado en la forma en que el navegador se encarga de la política del mismo origen, una característica de seguridad que se utiliza para aislar los contenidos interactivos a partir de la ejecución de código que puede dar lugar a diversas acciones maliciosas. El defecto real puede ser puesta en acción por las principales víctimas de los destinados a los sitios de hackers-hechos a mano, que hará que el problema. Con el propósito de probar que el defecto es real una prueba de concepto se ha presentado. El proceso de paso a paso es la siguiente:
- Los usuarios son dirigidos a la página de hackers hecho - esto se puede hacer mediante un enlace insertado a través de diversos medios: anuncios, banners, redirecciones y perfiles de redes sociales, incluso robados o hackeados.
- Al visitar el sitio de las secuencias de comandos integrados se carga el contenido malicioso que se oculta en diversas etiquetas y automáticamente procesada por los navegadores.
- Una inyección de código se pondrá en marcha en los navegadores.
- El código será lanzado en el host local por lo que es posible robar información sensible.
Abusando de la Clipper Evernote Web para Chrome falla de los atacantes pueden recopilar información que pueda revelar la identidad de las víctimas, ciertos parámetros de la máquina y todos los datos contenidos en los navegadores víctima. Además, como se trata de un enfoque basado en la secuencia de comandos de los criminales también pueden causar la ejecución de código malicioso. En un escenario de ataque esto puede proporcionar un método adecuado para la difusión de mineros criptomoneda y otros programas maliciosos común. Evernote ha emitido un parche de seguridad e instamos a que todos los usuarios actualicen sus aplicaciones de escritorio y extensiones.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: