Casa > Cyber ​​Notizie > Vulnerabilità di Evernote abusata per rubare file dagli utenti vittime
CYBER NEWS

Evernote vulnerabilità Abused a sottrarre i file da Victim Utenti

Una nuova vulnerabilità Evernote è stato recentemente annunciato che è stato trovato per consentire agli hacker di dirottare i file dalle vittime. Si tratta di un bug di scripting cross-site (XSS) che dà anche agli operatori la possibilità di eseguire comandi arbitrari. Mentre una patch è stata rilasciata, subito dopo la sua uscita è stato confermato che il difetto ancora consentito hacker di iniettare codice malware.




La vulnerabilità Evernote mette in pericolo gli utenti di Windows

Il popolare applicazione Evernote Windows è stato trovato per essere vulnerabile ad un cross-site scripting che era conosciuto in passato. E 'stato patchato da parte della società di nuovo nel mese di ottobre con il rilascio di una versione beta, in seguito la correzione era disponibile a tutti gli utenti. Il bug di allora è stato rintracciato nella CVE-2.018-18.524 consulenza che è attualmente sotto embargo.

Tuttavia in seguito un ricercatore di sicurezza conosciuto con il soprannome Sebao ha scoperto che il problema è stato risolto file di dirottamento però allo stesso tempo l'altro problema rimane. le versioni di Windows patchate del app Evernote sono stati trovati per permettere ancora utenti malintenzionati di eseguire codice arbitrario malevolo. La verifica teorica dimostrazione è stata effettuata utilizzando una foto come file di payload.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer e VLC Sia affetto da una vulnerabilità critica

Il meccanismo di iniezione è molto semplice e può essere abusato anche da hacker principianti. Segue un processo passo-passo:

  • Una foto deve essere aggiunto a una nota utente. Questo può essere qualsiasi file che l'utente potrebbe utilizzare.
  • Quando viene rinominato con il seguente nome “” onclick =”mettere in guardia(1)”> .jpg” Il motore di Evernote lancerà automaticamente l'azione onclick.
  • Tali file possono essere facilmente diffuse su Internet.

Con l'utilizzo di script comuni XSS il ricercatore è stato in grado di leggere il contenuto dei file locali e di interagire con il computer. Un altro esempio è la capacità di lanciare un'applicazione. Per leggere l'intero accesso divulgazione della l'annuncio di sicurezza.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo