A extensão Evernote Web Clipper para Chrome foi identificada como contendo uma falha muito perigosa descrita no comunicado CVE-2019-12592, permitindo que dados confidenciais do usuário sejam adquiridos. De acordo com as informações divulgadas, a causa desta vulnerabilidade é um erro de codificação lógica no aplicativo.
Evernote Web Clipper para dados de vazamento de bug do Chrome de acordo com CVE-2019-12592
Um problema de segurança foi identificado em um dos plug-ins mais populares usados por usuários do Google Chrome - The Evernote Web Clipper. Esta é uma extensão que é instalada junto com o aplicativo principal do Evernote se o usuário tiver uma instalação do Google Chrome. O objetivo do Web Clipper for Chrome é ajudar na aquisição de diferentes dados de conteúdo e enviá-los para o aplicativo.
O problema foi encontrado na maneira como o navegador lida com a política de mesma origem, um recurso de segurança que é usado para isolar o conteúdo interativo do código em execução que pode levar a várias ações maliciosas. A falha real pode ser acionada levando as vítimas pretendidas a sites criados por hackers que irão desencadear o problema. Com o objetivo de provar que a falha é real uma prova de conceito foi apresentada. O processo passo a passo é o seguinte:
- Os usuários são conduzidos à página criada pelo hacker - isso pode ser feito por um link inserido por vários meios: Publicidades, banners, redireciona e até perfis de mídia social roubados ou hackeados.
- Ao visitar o site, os scripts integrados carregam conteúdo malicioso que está oculto em várias tags e é processado automaticamente pelos navegadores.
- Uma injeção de código será lançada nos navegadores.
- O código será lançado no host local, tornando possível o roubo de informações confidenciais.
Ao abusar da falha do Evernote Web Clipper For Chrome, os atacantes podem reunir informações que podem revelar a identidade das vítimas, certas métricas de máquina e todos os dados contidos nos navegadores da vítima. Além disso, como esta é uma abordagem baseada em script, os criminosos também podem causar execução de código malicioso. Em um cenário de ataque, isso pode fornecer um método adequado para espalhar mineiros criptomoeda e outro malware comum. O Evernote lançou um patch de segurança e pedimos que todos os usuários atualizem seus aplicativos e extensões de desktop.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: