Accueil > Nouvelles Cyber > Une vulnérabilité Evernote utilisée pour voler des fichiers aux utilisateurs victimes
CYBER NOUVELLES

La vulnérabilité evernote victimes de mauvais traitements voler des fichiers des utilisateurs de victimes

Une nouvelle vulnérabilité a été annoncée récemment Evernote qui a été trouvé pour permettre à des pirates de détourner les fichiers des victimes. Il est un bug de cross-site scripting (XSS) ce qui donne également les opérateurs la possibilité d'exécuter des commandes arbitraires. Alors qu'un patch a été publié, peu de temps après sa sortie, il a été confirmé que la faille a permis encore les pirates d'injecter du code des logiciels malveillants.




La vulnérabilité des utilisateurs Windows Evernote met en danger

L'application Evernote de Windows populaire a été jugée vulnérable à un cross-site scripting qui était connu dans le passé. Il a été patché par la société en Octobre avec la sortie d'une version bêta, plus tard le correctif était disponible à tous les utilisateurs. Le bug a été suivi à l'époque dans la CVE-2018-18524 ​​consultatif qui est actuellement sous embargo.

Cependant plus tard un chercheur de sécurité connu sous le surnom Sebao a trouvé que le problème fichier hijack a été résolu mais en même temps l'autre problème reste. versions patchées de Windows de l'application Evernote ont été trouvés pour permettre encore des utilisateurs malveillants d'exécuter du code arbitraire malveillant. Une preuve de concept la démonstration a été faite en utilisant une photo comme un fichier de charge utile.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer et VLC deux affectés par une vulnérabilité critique

Le mécanisme d'injection est très simple et il peut être abusé même par des pirates débutants. Il fait suite à un processus étape par étape:

  • Une photo doit être ajouté à une note utilisateur. Cela peut être un fichier que l'utilisateur peut utiliser.
  • Quand il est renommé avec le nom suivant “” onclick =”alerte(1)”> .jpg” Le moteur de evernote lancera automatiquement l'action onclick.
  • Ces fichiers peuvent facilement se propager sur Internet.

En utilisant des scripts XSS communs le chercheur a pu lire le contenu des fichiers locaux et d'interagir avec l'ordinateur. Un autre exemple est la possibilité de lancer une application. Pour lire l'accès complet de la divulgation de la annonce de sécurité.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord