كشف عيب حرج في Evernote عن بيانات حساسة من المستخدمين للمهاجمين المحتملين

Share:

كشف عيب حرج في Evernote عن بيانات حساسة من المستخدمين للمهاجمين المحتملين

نظرًا لوجود عيب في التعرّض ، قد يتم الاستيلاء على امتداد Evernote Web Clipper Chrome من قبل المتسللين المحتملين لاسترداد معلومات المستخدم الشخصية من خلال خدمات الطرف الثالث عبر الإنترنت.

بسبب الاستخدام المكثف لـ Evernote ، يمكن أن يؤثر هذا الخلل على مستخدمي عملائها (حوالي 460000 مستخدم) ، وفقًا لشركة Guard ، وهي شركة أمنية حذرت من الضعف.

عيب الأمان هو البرمجة النصية الشاملة للمواقع (UXSS) (والمعروفة أيضًا باسم Universal XSS) والتي تم تتبعها على أنها CVE-2019-12592 والتي نشأت عن خطأ رمز منطقي في Evernote Web Clipper والذي سمح بإهمال سياسة أصل كروم نفسها (SOP) ، السماح بامتيازات تنفيذ التعليمات البرمجية للمتسللين في iframe ، مما يسمح لهم بالوصول إلى بيانات المستخدم الحساسة.

تعني ميزة الانقطاع في ميزة حماية خصوصية موقع جوجل كروم أن بيانات المستخدمين على الحسابات / الخدمات المتصلة ضعيفة ، مما يتيح للمهاجمين الحصول على معلومات المستخدمين بما في ذلك رسائل البريد الإلكتروني الشخصية والمالية والمحادثات الخاصة في مواقع التواصل الاجتماعي والمزيد من خدمات الجهات الخارجية .

إنه يعمل عن طريق إعادة توجيه الأهداف إلى مواقع الويب التي يتحكم فيها المتسللون الذين يقومون بتحميل iframes المخفية مع مواقع الطرف الثالث المقصود تنشيط استغلال تم إجراؤه لدفع Evernote لإدراج حمولة ضارة من شأنها سرقة بيانات الاعتماد وملفات تعريف الارتباط.

قامت شركة Guard.io الأمنية بإنشاء إثبات فعال للمفهوم (PoC) لعيب CVE-2019-12592 الذي يوضح كيفية الوصول إلى بيانات التسوق وبيانات المصادقة والمعلومات المالية والمحادثات الخاصة لأي شخص يستخدم Evernote غير آمن شبكة كليبر.

عيب حرج في Evernote Web Clipper UXSS مصححة

في أقل من أسبوع من الكشف عن Guard ، أصلحت Evernote مشكلة عدم حصانة Web Clipper.

تم الكشف عن العيوب في 27 مايو وتم طرح الإصلاحات لجميع العملاء في 31 مايو ، مع عرض التصحيح بشكل كامل في 4 يونيو.

قال كبير مسؤولي التكنولوجيا في Guardio ، Michael Vainshtein إن كل ما يتطلبه الأمر هو امتداد غير آمن فقط لتهديد أي شيء تفعله أو حفظه عبر الإنترنت. نتائج تموج سريعة ومكثفة.

ليست هناك تعليقات