freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Evernote扩展被曝严重漏洞,可泄露数百万用户的敏感信息
2019-06-13 10:10:09

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

Evernote Web Clipper Chrome 扩展中被曝存在一个严重缺陷,可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。

Evernote.jpg

发现该漏洞的安全公司 Guardio 表示,“由于Evernote广为流行,该问题可能影响使用该扩展的客户和企业,在发现之时它的用户量为460万左右。”

全局跨站点脚本缺陷

该问题是一个全局跨站点脚本 (UXSS) 漏洞,编号为 CVE-2019-12592,源自一个Evernote Web Clipper 逻辑编程错误,使其可能“绕过浏览器的同源策略,导致攻击者能够在Evernote域名以外的内联框架中获得代码执行权限。”

一旦 Chrome 的站点隔离安全功能崩溃,其它网站账户的用户数据就无法受到保护,从而导致恶意人员能够访问第三方网站上的敏感的用户信息,“包括社交媒体、个人邮件等中的认证、金融、私密会话。”

Exploiting the flaw.png

目标被重定向至受黑客控制的且加载目标第三方网站内联框架的网站,并触发旨在强迫Evernote将恶意 payload 注入所有加载内联框架的利用,而该 payload 将“窃取cookies、凭证、私人信息并以用户身份执行动作等。”

Guardio 为CVE-2019-12592 设计出起作用的 PoC,展示了如何通过易受攻击的Evernote Web Clipper Chrome 扩展版本获取对社交媒体和金融信息、购物信息、私密信息、认证数据和邮件的访问权限。

演示视频

漏洞已修复

5月27日收到漏洞报告,5月31日,向所有用户推出修复方案,并在6月4日证实补丁完全起作用。

为了确保用户使用的是修复后的扩展版本,可在网址chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc查看是否安装了7.11.1或更高版本。

Guardio 公司的首席技术官 Michael Vainshtein 表示,“我们发现的这个漏洞证明了仔细清洁浏览器扩展的重要性。人们需要意识到,即使是最可信的扩展也会包含攻击者路径。攻击者需要的不过是一个不安全的扩展,就能攻陷你在网上所做的或存储的所有一切。这种涟漪效果立即展现并有很强的的杀伤力。”

2017年,Evernote不得不放弃对隐私策略的“改进”提案,因为改进后员工能够读取用户的未加密笔记,而此举招来用户的强烈反对。今年4月中旬,Evernote修复了一个路径遍历漏洞,它可导致攻击者远程运行目标 Mac 上本地存储的应用或文件。

*参考来源:Bleepingcomputer,由代码卫士编译,转载请注明来自FreeBuf.COM

# 漏洞 # 数据泄露 # evernote # 插件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者