Huis > Cyber ​​Nieuws > Evernote-kwetsbaarheid misbruikt om bestanden van slachtoffergebruikers te stelen
CYBER NEWS

Evernote Vulnerability misbruikt om bestanden te stelen van Slachtoffer Gebruikers

door   |  Last Update:  |  0 Reacties  

Een nieuwe Evernote kwetsbaarheid werd onlangs aangekondigd die is gevonden, zodat hackers om bestanden te kapen van de slachtoffers. Het is een cross-site scripting bug (XSS) die ook geeft de operatoren de mogelijkheid om willekeurige commando's uit te voeren. Terwijl een patch uitgebracht, snel na de release werd bevestigd dat de fout nog steeds toegestaan ​​hackers om malware code te injecteren.




De Evernote Vulnerability in gevaar brengt Windows-gebruikers

De populaire Evernote Windows-applicatie is gevonden kwetsbaar voor een cross-site scripting die in het verleden bekend stond om zijn. Het werd hersteld door het bedrijf terug in oktober met de release van een beta-versie, later op de fix beschikbaar was voor alle gebruikers. De bug werd toen gevolgd in het CVE-2018-18.524 adviserende die momenteel onder embargo.

Maar later op een security-onderzoeker onder de bijnaam bekend Sebao heeft geconstateerd dat het bestand kaping probleem echter opgelost op hetzelfde moment het andere probleem blijft. Gepatchte Windows-versies van de Evernote app is gebleken dat nog steeds de mogelijkheid kwaadwillende gebruikers om kwaadaardige willekeurige code uit te voeren. Een proof-of-concept demonstratie werd gedaan met behulp van een foto als een payload-bestand.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer en VLC Beide Beïnvloed door een Kritiek Door een beveiligingslek

Het mechanisme van de injectie is zeer eenvoudig en het kan worden misbruikt, zelfs door beginnende hackers. Volgt een stap-voor-stap proces:

  • Een foto moet worden toegevoegd aan een gebruiker noot. Dit kan elk bestand dat de gebruiker kan gebruiken.
  • Wanneer het wordt hernoemd met de volgende naam “” onclick =”alarm(1)”> .jpg” Evernote De motor zal automatisch de onclick actie te lanceren.
  • Dergelijke bestanden kunnen eenvoudig worden verspreid op het internet.

Door het gebruik van gemeenschappelijke XSS scripts was de onderzoeker in staat om de inhoud van lokale bestanden te lezen en interactie met de computer. Een ander voorbeeld is de mogelijkheid om een ​​applicatie te starten. Om de volledige openbaarmaking toegang lees de veiligheid aankondiging.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Adobe Patches 112 Kwetsbaarheden in laatste patch Package (CVE-2018-5007) Adobe heeft het nieuwste patchpakket uitgebracht dat een....
  2. CVE-2019-12.592: Evernote Web Clipper Voor Chrome Flaw kunnen gegevens Theft The Evernote Web Clipper For Chrome extension has been identified...
  3. Evernote App Wijzigingen Privacy naar Let Werknemers Lees de noten van Gebruikers De beruchte app Evernote, installed by default in some Android...
  4. Google, Microsoft Bugs boven de 20 Meest voorkomende Enterprise beveiligingslekken Cybersecurity firm Tenable just released their Vulnerability Intelligence Report which...
  5. Dat is de meest veilige browser voor 2015 – Firefox, Chrome, Internet Explorer, Safari Een webbrowser kan twee dingen. Een persoon die...
  6. Aangepaste Windows 10 Thema's kunnen worden misbruikt om gebruikersreferenties te stelen Een beveiligingsonderzoeker heeft ontdekt dat Windows 10 themes can...
  7. Google's nieuwste Android beveiligingsupdate 47 Kwetsbaarheden Google heeft hun laatste en waarschijnlijk laatste Android-update afgeleverd..
  8. CVE-2022-31656: Kritieke VMware-verificatie-bypass-kwetsbaarheid VMware heeft onlangs nog een set patches uitgebracht die een nummer adresseren..

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens