L'estensione Evernote Web Clipper Per Chrome è stato identificato per contenere un difetto molto pericoloso descritto nella consulenza CVE-2.019-12.592 consentendo dati sensibili degli utenti da acquisire. Secondo le informazioni rilasciate la causa di questa vulnerabilità è un errore di codifica logica nell'applicazione.
Evernote Web Clipper per Chrome Perdite Bug dati secondo CVE-2.019-12.592
Un problema di protezione è stato identificato in uno dei plugin più popolari utilizzato da Google Chrome Utenti - L'Evernote Web Clipper. Si tratta di un'estensione che viene installato a fianco del principale Evernote se l'utente dispone di un'installazione di Google Chrome. Lo scopo di Web Clipper per Chrome è quello di aiutare con l'acquisizione di diversi dati relativi al contenuto e inviarlo all'applicazione.
Il problema è stato trovato nel modo in cui il browser gestisce la politica stessa origine, una funzionalità di sicurezza che viene utilizzato per isolare i contenuti interattivi di esecuzione di codice che può portare a diverse azioni dannose. Il difetto reale può essere chiamato in causa dai principali vittime destinate a siti pirata artigianale che attivano il problema. Al fine di dimostrare che il difetto è reale un proof-of-concept è stato presentato. Il processo passo-passo è il seguente:
- Gli utenti sono guidati alla pagina di hacker-made - questo può essere fatto da un link inserito attraverso vari mezzi: Annunci, banner, reindirizza e profili di social media anche rubati o hacked.
- Visitando il sito gli script incorporati potranno caricare il contenuto dannoso che sono nascosti in vari tag e automaticamente elaborati dai browser.
- Un'iniezione di codice sarà lanciato nei browser.
- Il codice sarà lanciato sulla macchina locale che permette di rubare le informazioni sensibili.
Abusando del Evernote Web Clipper Per Chrome difetto gli attaccanti possono raccogliere informazioni che possono rivelare l'identità delle vittime, alcuni parametri della macchina e tutti i dati contenuti all'interno dei browser vittima. Inoltre, come questo è un approccio basato su script i criminali possono anche causare l'esecuzione di codice dannoso. In uno scenario di attacco puo 'fornire un metodo adatto per diffusione minatori criptovaluta e altro malware comuni. Evernote ha rilasciato una patch di sicurezza e sollecitare che tutti gli utenti di aggiornare le applicazioni desktop e le estensioni.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: