Le Clipper Web Evernote Pour extension Chrome a été identifié pour contenir une faille très dangereuse décrite dans l'avis CVE-2019-12592 permettant des données sensibles des utilisateurs à acquérir. Selon les informations publiées la cause de cette vulnérabilité est une erreur de codage logique dans l'application.
Web Clipper Evernote pour Chrome Bug Fuites données selon la CVE-2019-12592
Un problème de sécurité a été identifié dans l'un des plugins les plus populaires utilisés par les utilisateurs de Google Chrome - Le Clipper Web Evernote. Ceci est une extension qui est installé à côté de la principale demande Evernote si l'utilisateur dispose d'une installation de Google Chrome. Le but de Clipper Web pour Chrome est d'aider à l'acquisition de différentes données de contenu et de l'envoyer à l'application.
Le problème a été trouvé dans la façon dont le navigateur gère la politique d'origine, une fonction de sécurité qui permet d'isoler le contenu interactif à partir du code en cours d'exécution qui peut conduire à diverses actions malveillantes. La faille réelle peut être mis en action en menant les victimes destinées à des sites conçu hacker qui déclencheront la question. Aux fins de prouver que le défaut est réel une preuve de concept a été présenté. Le procédé étape par étape est la suivante:
- Les utilisateurs sont amenés à la page fait hacker - cela peut être fait par un lien inséré par divers moyens: les publicités, bannières, réoriente et même volé ou piraté profils de médias sociaux.
- En visitant le site les scripts intégrés se chargeront du contenu malveillant qui sont cachés dans différentes balises et traitées automatiquement par les navigateurs.
- sera lancé Une injection de code dans les navigateurs.
- Le code sera lancé sur l'hôte local permettant de dérober des informations sensibles.
En abusant de la Clipper Web Evernote pour défaut Chrome les attaquants peuvent recueillir des informations qui peuvent révéler l'identité des victimes, certains paramètres de la machine et toutes les données contenues dans les navigateurs des victimes. En outre, comme cela est une approche basée sur un script les criminels peuvent également entraîner exécution de code malveillant. Dans un scénario d'attaque cela peut fournir une méthode appropriée pour la diffusion mineurs de crypto-monnaie et autres logiciels malveillants commun. Evernote a publié un correctif de sécurité et nous demandons instamment que tous les utilisateurs de mettre à jour leurs applications de bureau et extensions.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: