最近、新しいEvernoteの脆弱性が発表されました。これにより、ハッカーが被害者からファイルをハイジャックできることが判明しました。. クロスサイトスクリプティングのバグです (XSS) これにより、オペレーターは任意のコマンドを実行することもできます. パッチがリリースされている間, リリース後すぐに、この欠陥によりハッカーがマルウェアコードを挿入できることが確認されました.
Evernoteの脆弱性はWindowsユーザーを危険にさらします
人気のあるEvernoteWindowsアプリケーションは、過去に知られているクロスサイトスクリプティングに対して脆弱であることが判明しています。. ベータ版のリリースで10月に会社によってパッチが適用されました, 後で修正がすべてのユーザーに利用可能になりました. 当時のバグは、 CVE-2018-18524アドバイザリ 現在禁輸中です.
しかし後でニックネームで知られているセキュリティ研究者 セバオ ファイルハイジャックの問題は解決されましたが、同時に他の問題が残っていることがわかりました. パッチを適用したWindowsバージョンのEvernoteアプリでは、悪意のあるユーザーが悪意のある任意のコードを実行できることが判明しています。. A コンセプトの証明 写真をペイロードファイルとして使用してデモンストレーションを行いました.
インジェクションのメカニズムは非常に単純で、初心者のハッカーでも悪用される可能性があります. それは段階的なプロセスに従います:
- ユーザーノートに写真を追加する必要があります. これは、ユーザーが使用する可能性のある任意のファイルにすることができます.
- 次の名前に変更した場合 “” onclick =”アラート(1)”> .jpg” Evernoteのエンジンは自動的にonclickアクションを起動します.
- このようなファイルはインターネット上で簡単に拡散できます.
一般的なXSSスクリプトを使用することで、研究者はローカルファイルの内容を読み取り、コンピューターと対話することができました。. 別の例は、アプリケーションを起動する機能でした. 完全な開示アクセスを読むには、 セキュリティアナウンス.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: