Een nieuwe Evernote kwetsbaarheid werd onlangs aangekondigd die is gevonden, zodat hackers om bestanden te kapen van de slachtoffers. Het is een cross-site scripting bug (XSS) die ook geeft de operatoren de mogelijkheid om willekeurige commando's uit te voeren. Terwijl een patch uitgebracht, snel na de release werd bevestigd dat de fout nog steeds toegestaan hackers om malware code te injecteren.
De Evernote Vulnerability in gevaar brengt Windows-gebruikers
De populaire Evernote Windows-applicatie is gevonden kwetsbaar voor een cross-site scripting die in het verleden bekend stond om zijn. Het werd hersteld door het bedrijf terug in oktober met de release van een beta-versie, later op de fix beschikbaar was voor alle gebruikers. De bug werd toen gevolgd in het CVE-2018-18.524 adviserende die momenteel onder embargo.
Maar later op een security-onderzoeker onder de bijnaam bekend Sebao heeft geconstateerd dat het bestand kaping probleem echter opgelost op hetzelfde moment het andere probleem blijft. Gepatchte Windows-versies van de Evernote app is gebleken dat nog steeds de mogelijkheid kwaadwillende gebruikers om kwaadaardige willekeurige code uit te voeren. Een proof-of-concept demonstratie werd gedaan met behulp van een foto als een payload-bestand.
Het mechanisme van de injectie is zeer eenvoudig en het kan worden misbruikt, zelfs door beginnende hackers. Volgt een stap-voor-stap proces:
- Een foto moet worden toegevoegd aan een gebruiker noot. Dit kan elk bestand dat de gebruiker kan gebruiken.
- Wanneer het wordt hernoemd met de volgende naam “” onclick =”alarm(1)”> .jpg” Evernote De motor zal automatisch de onclick actie te lanceren.
- Dergelijke bestanden kunnen eenvoudig worden verspreid op het internet.
Door het gebruik van gemeenschappelijke XSS scripts was de onderzoeker in staat om de inhoud van lokale bestanden te lezen en interactie met de computer. Een ander voorbeeld is de mogelijkheid om een applicatie te starten. Om de volledige openbaarmaking toegang lees de veiligheid aankondiging.