De Evernote Web Clipper voor Chrome-extensie is geïdentificeerd om een zeer gevaarlijke fout in de CVE-2019-12.592 adviserende waardoor gevoelige gebruikersgegevens beschreven die moeten worden verworven. Volgens de vrijgegeven informatie de oorzaak hiervoor kwetsbaarheid een logische codering onjuiste toepassing.
Evernote Web Clipper Voor Chrome Bug lekken van gegevens volgens CVE-2019-12.592
Er is een beveiligingsprobleem vastgesteld in een van de meest populaire plug-ins die worden gebruikt door Google Chrome-gebruikers - De Evernote Web Clipper. Dit is een uitbreiding die langs de belangrijkste Evernote applicatie is geïnstalleerd als de gebruiker een Google Chrome-installatie heeft. Het doel van de Web Clipper voor Chrome is om te helpen met de overname van verschillende inhoud data en stuur het naar de toepassing.
Het probleem is gevonden in de manier waarop de browser omgaat met het beleid voor dezelfde oorsprong, een beveiligingsfunctie die wordt gebruikt om de interactieve inhoud van het uitvoeren van code te isoleren die kunnen leiden tot verschillende kwaadaardige acties. De werkelijke fout kan in werking worden opgeroepen door toonaangevende de beoogde slachtoffers to-hacker gemaakt sites die de kwestie zal leiden. Voor het doel te bewijzen dat de fout is echt een proof-of-concept is gepresenteerd. De stap-voor-stap proces is de volgende:
- De gebruikers worden geleid naar de hacker gemaakte pagina - dit kan worden gedaan door een link geplaatst door middel van verschillende middelen: advertenties, banners, omleidingen en zelfs gestolen of gehackt social media profielen.
- Bij een bezoek aan de site zal de ingebouwde scripts kwaadaardige inhoud die zijn verborgen in verschillende labels en automatisch verwerkt door de browsers te laden.
- Een code-injectie zal worden gelanceerd in de browsers.
- De code zal worden gelanceerd op de lokale host maakt het mogelijk om gevoelige informatie te stelen.
Door misbruik te maken van de Evernote Web Clipper Voor Chrome lek kan een aanvaller geen informatie die de identiteit van de slachtoffers kan onthullen verzamelen, bepaalde machine metrics en alle gegevens binnen het slachtoffer browsers. Bovendien want dit is een script-gebaseerde aanpak van de criminelen kan ook leiden tot uitvoering van schadelijke code. In een aanval kan dit een geschikte werkwijze te verschaffen voor het verspreiden cryptogeld mijnwerkers en andere veel voorkomende malware. Evernote is een security patch uitgegeven en we dringen erop aan dat alle gebruikers aan hun desktop apps en extensies.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: