Evernote Web Clipper For Chrome拡張機能には、CVE-2019-12592アドバイザリに記載されている非常に危険な欠陥が含まれていることが確認されており、機密性の高いユーザーデータを取得できます。. 公開された情報によると、この脆弱性の原因はアプリケーションの論理コーディングエラーです.
Chromeバグ用のEvernoteWebクリッパーがCVE-2019-12592に準拠したデータをリーク
GoogleChromeユーザーが使用する最も人気のあるプラグインの1つであるEvernoteWebクリッパーでセキュリティの問題が特定されました. これは、ユーザーがGoogle Chromeをインストールしている場合に、メインのEvernoteアプリケーションと一緒にインストールされる拡張機能です。. Web Clipper for Chromeの目的は、さまざまなコンテンツデータの取得を支援し、それをアプリケーションに送信することです。.
ブラウザが同一生成元ポリシーを処理する方法に問題が見つかりました, さまざまな悪意のあるアクションにつながる可能性のある実行中のコードからインタラクティブコンテンツを分離するために使用されるセキュリティ機能. 実際の欠陥は、意図された被害者をハッカーが作成したサイトに誘導することで実行に移すことができます。. 欠陥が本物であることを証明する目的で 概念実証が提示されました. ステップバイステップのプロセスは次のとおりです:
- ユーザーはハッカーが作成したページに誘導されます—これはさまざまな手段で挿入されたリンクによって実行できます: 広告, バナー, リダイレクトし、さらには盗まれた、またはハッキングされたソーシャルメディアプロファイル.
- サイトにアクセスすると、組み込みのスクリプトが悪意のあるコンテンツをロードします。これらのコンテンツはさまざまなタグに隠されており、ブラウザによって自動的に処理されます。.
- コードインジェクションがブラウザに起動されます.
- コードはローカルホストで起動され、機密情報を盗むことができます.
攻撃者は、Evernote Web Clipper For Chromeの欠陥を悪用することで、被害者の身元を明らかにする可能性のある情報を収集できます。, 特定のマシンメトリックと被害者のブラウザに含まれるすべてのデータ. さらに、これはスクリプトベースのアプローチであるため、犯罪者も原因となる可能性があります 悪意のあるコードの実行. 攻撃シナリオでは、これは拡散するための適切な方法を提供する可能性があります 暗号通貨マイナー およびその他の一般的なマルウェア. Evernoteはセキュリティパッチを発行しており、すべてのユーザーがデスクトップアプリと拡張機能を更新することをお勧めします.