Casa > Ciber Noticias > Vulnerabilidad de Evernote abusada para robar archivos de usuarios víctimas
CYBER NOTICIAS

Evernote vulnerabilidad abusa para robar ficheros de los usuarios a las Víctimas

por   |  Last Update:  |  0 Comentarios  

Una nueva vulnerabilidad Evernote se ha anunciado recientemente que se ha encontrado para permitir a los hackers secuestrar archivos de las víctimas. Es un error de secuencias de comandos entre sitios (XSS) que también da a los operadores la capacidad de ejecutar comandos arbitrarios. Mientras que un parche fue lanzado, poco después de su lanzamiento, se confirmó que la falla todavía se permite a los piratas informáticos para inyectar código malicioso.




La vulnerabilidad Evernote pone en peligro a los usuarios de Windows

La popular aplicación de Windows Evernote se ha encontrado para ser vulnerable a un script de páginas web que se conocía en el pasado. Fue parcheado por la compañía en octubre con el lanzamiento de una versión beta, más adelante en la solución estaba a disposición de todos los usuarios. El fallo en ese entonces fue localizado en el CVE-2018 a 18524 ​​de asesoramiento que se encuentra actualmente bajo embargo.

Sin embargo más tarde en un investigador de seguridad conocido bajo el apodo Sebao ha encontrado que el problema de los archivos de secuestro se resolvió sin embargo al mismo tiempo, el otro problema sigue siendo. Se han encontrado las versiones de Windows parcheado de la aplicación Evernote para aún permitir a los usuarios maliciosos para ejecutar código arbitrario malicioso. La prueba de concepto manifestación se llevó a cabo usando una foto como un archivo de carga útil.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer y VLC ambos afectados por una vulnerabilidad crítica

El mecanismo de inyección es muy simple y puede ser objeto de abuso, incluso por los hackers principiantes. De ello se sigue un proceso paso a paso:

  • Una foto debe ser añadido a una nota de usuario. Esto puede ser cualquier archivo que el usuario podría utilizar.
  • Cuando se cambia el nombre con el siguiente nombre “” onclick =”alerta(1)”> .jpg” El motor de Evernote se iniciará automáticamente la acción onclick.
  • Dichos archivos pueden propagarse fácilmente en Internet.

Mediante el uso de secuencias de comandos comunes XSS el investigador fue capaz de leer el contenido de archivos locales e interactuar con el ordenador. Otro ejemplo fue la capacidad de lanzar una aplicación. Para leer el acceso a la información completa anuncio de seguridad.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. Adobe Parches 112 Vulnerabilidades en último parche paquete (CVE-2018-5007) Adobe ha lanzado el último paquete de parches que aborda un....
  2. CVE-2019-12.592: Evernote Web Clipper para Chrome permite el robo de datos de fallas Se ha identificado la extensión Evernote Web Clipper para Chrome..
  3. Evernote App cambios en la privacidad para que los empleados Lea las notas de los usuarios La aplicación Evernote notoria, installed by default in some Android...
  4. Google, Errores de Microsoft encabezan la 20 La mayoría de las vulnerabilidades Prevalentes de la empresa La empresa de seguridad cibernética Tenable acaba de publicar su Informe de inteligencia de vulnerabilidades que....
  5. ¿Cuál es el navegador más seguro para 2015 – Firefox, Cromo, Internet Explorer, Safari Un navegador web puede ser dos cosas. Una persona que...
  6. Ventanas personalizadas 10 Se puede abusar de los temas para robar credenciales de usuario Un investigador de seguridad ha descubierto que Windows 10 themes can...
  7. Última actualización corrige Seguridad Android de Google 47 Vulnerabilidades Google ha entregado su última y probablemente última actualización de Android..
  8. CVE-2022-31656: Vulnerabilidad crítica de omisión de autenticación de VMware VMware lanzó recientemente otro conjunto de parches que abordan un número....

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo