#Инфографика #Избраное #ЛентаНовостей #телекомлентач #метабаза #статистика #Платно #обзоргаджетов #шапито

Критический баг в Evernote поставил под удар миллионы пользователей

14 июнь 2019 12:40 #82491 от ICT
ICT создал тему: Критический баг в Evernote поставил под удар миллионы пользователей
Дыра в Evernote Web Clipper Довольно банальная уязвимость в фирменном браузерном расширении популярного бизнес-приложения Evernote поставила под угрозу данные всех его пользователей. Приблизительная пользовательская база расширения Evernote Web Clipper для Chrome составляет 4600000 аккаунтов. По данным компании Guardio, эксперты которой обнаружили баг, речь идёт об уязвимости класса Universal Cross-Site Scripting (универсальный межсайтовый скриптинг). Ошибка в коде Evernote Web Clipper позволяет обойти правила ограничения домена в браузере (Same Origin Policy), что обеспечивает злоумышленнику «привилегии на исполнение кода в iFrame вне пределов домена Evernote». На практике это означает, что данные пользователей Evernote могут быть раскрыты на других сайтах. То есть злоумышленнику необходимо будет заманить потенциальную жертву на сайт под своим контролем - со скрытыми iframe, в которые загружаются целевые сторонние сайты. Затем, с помощью эксплойта можно заставить Evernote внедрить вредоносный компонент во все загруженные iframe, и с его помощью можно выкрасть файлы cookie, реквизиты доступа к другим ресурсам и прочую конфиденциальную информацию, а также выполнить какие-либо действия от лица пользователя. Ролик показывает возможность получать доступ к аккаунтам в социальных сетях, финансовым данным и сведениях о покупках, а также читать приватные сообщения и электронную почту любого пользователя уязвимого расширения Chrome. На этот раз пронесло «Evernote - очень популярный инструмент, так что успешная эксплуатация этой уязвимости могла создать массивные проблемы для пользователей данного расширения, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Этого, к счастью, не произошло, однако сама ситуация - повод для разработчиков популярных браузерных расширений провести дополнительный аудит безопасности своих продуктов. Слишком высоким может быть риск от банальной ошибки в коде». Проблема была выявлена в конце мая 2019 г. Разработчикам Evernote понадобилось менее недели для того, чтобы выкатить исправление, обновив версию расширения до индекса 7.11.1. Короткая ссылка на материал: [url]#[/url] Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно

    • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Сотрудники сервиса Evernote смогут читать заметки пользователей12.75Четверг, 15 декабря 2016
    Сервис Evernote отказался от планов дать сотрудникам возможность читать заметки пользователей12.35Пятница, 16 декабря 2016
    Баг в Kaspersky VPN поставил под угрозу миллион пользователей11.45Пятница, 10 августа 2018
    Миллионы данных пользователей Facebook утекли в интернет10.84Пятница, 05 апреля 2019
    Миллионы пользователей Pornhub могли стать жертвами вирусной атаки10.61Среда, 11 октября 2017
    Критическая «дыра» в самом популярном архиваторе затронула миллионы пользователей по всему миру10.39Среда, 30 сентября 2015
    Сервисы Apple сломались по всему миру. Миллионы пользователей не могут попасть в почту10.39Пятница, 13 мая 2016
    Миллионы пользователей браузеров Apple и Android открыты для программной уязвимости FREAK из-за устаревшей политики США10.29Среда, 04 марта 2015
    Миллионы пользователей "макбуков", iPhone и Android были годами беззащитны перед хакерскими атаками10.29Среда, 04 марта 2015
    «Лаборатория Касперского»: миллионы приложений подвергают риску персональные данные пользователей из-за стороннего кода10.29Среда, 18 апреля 2018

    Мы в соц. сетях