Casa > Ciber Noticias > Vulnerabilidad de Evernote abusada para robar archivos de usuarios víctimas
CYBER NOTICIAS

Evernote vulnerabilidad abusa para robar ficheros de los usuarios a las Víctimas

Una nueva vulnerabilidad Evernote se ha anunciado recientemente que se ha encontrado para permitir a los hackers secuestrar archivos de las víctimas. Es un error de secuencias de comandos entre sitios (XSS) que también da a los operadores la capacidad de ejecutar comandos arbitrarios. Mientras que un parche fue lanzado, poco después de su lanzamiento, se confirmó que la falla todavía se permite a los piratas informáticos para inyectar código malicioso.




La vulnerabilidad Evernote pone en peligro a los usuarios de Windows

La popular aplicación de Windows Evernote se ha encontrado para ser vulnerable a un script de páginas web que se conocía en el pasado. Fue parcheado por la compañía en octubre con el lanzamiento de una versión beta, más adelante en la solución estaba a disposición de todos los usuarios. El fallo en ese entonces fue localizado en el CVE-2018 a 18524 ​​de asesoramiento que se encuentra actualmente bajo embargo.

Sin embargo más tarde en un investigador de seguridad conocido bajo el apodo Sebao ha encontrado que el problema de los archivos de secuestro se resolvió sin embargo al mismo tiempo, el otro problema sigue siendo. Se han encontrado las versiones de Windows parcheado de la aplicación Evernote para aún permitir a los usuarios maliciosos para ejecutar código arbitrario malicioso. La prueba de concepto manifestación se llevó a cabo usando una foto como un archivo de carga útil.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer y VLC ambos afectados por una vulnerabilidad crítica

El mecanismo de inyección es muy simple y puede ser objeto de abuso, incluso por los hackers principiantes. De ello se sigue un proceso paso a paso:

  • Una foto debe ser añadido a una nota de usuario. Esto puede ser cualquier archivo que el usuario podría utilizar.
  • Cuando se cambia el nombre con el siguiente nombre “” onclick =”alerta(1)”> .jpg” El motor de Evernote se iniciará automáticamente la acción onclick.
  • Dichos archivos pueden propagarse fácilmente en Internet.

Mediante el uso de secuencias de comandos comunes XSS el investigador fue capaz de leer el contenido de archivos locales e interactuar con el ordenador. Otro ejemplo fue la capacidad de lanzar una aplicación. Para leer el acceso a la información completa anuncio de seguridad.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo