Accueil > Nouvelles Cyber > Une vulnérabilité Evernote utilisée pour voler des fichiers aux utilisateurs victimes
CYBER NOUVELLES

La vulnérabilité evernote victimes de mauvais traitements voler des fichiers des utilisateurs de victimes

par   |  Last Update:  |  0 Commentaires  

Une nouvelle vulnérabilité a été annoncée récemment Evernote qui a été trouvé pour permettre à des pirates de détourner les fichiers des victimes. Il est un bug de cross-site scripting (XSS) ce qui donne également les opérateurs la possibilité d'exécuter des commandes arbitraires. Alors qu'un patch a été publié, peu de temps après sa sortie, il a été confirmé que la faille a permis encore les pirates d'injecter du code des logiciels malveillants.




La vulnérabilité des utilisateurs Windows Evernote met en danger

L'application Evernote de Windows populaire a été jugée vulnérable à un cross-site scripting qui était connu dans le passé. Il a été patché par la société en Octobre avec la sortie d'une version bêta, plus tard le correctif était disponible à tous les utilisateurs. Le bug a été suivi à l'époque dans la CVE-2018-18524 ​​consultatif qui est actuellement sous embargo.

Cependant plus tard un chercheur de sécurité connu sous le surnom Sebao a trouvé que le problème fichier hijack a été résolu mais en même temps l'autre problème reste. versions patchées de Windows de l'application Evernote ont été trouvés pour permettre encore des utilisateurs malveillants d'exécuter du code arbitraire malveillant. Une preuve de concept la démonstration a été faite en utilisant une photo comme un fichier de charge utile.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer et VLC deux affectés par une vulnérabilité critique

Le mécanisme d'injection est très simple et il peut être abusé même par des pirates débutants. Il fait suite à un processus étape par étape:

  • Une photo doit être ajouté à une note utilisateur. Cela peut être un fichier que l'utilisateur peut utiliser.
  • Quand il est renommé avec le nom suivant “” onclick =”alerte(1)”> .jpg” Le moteur de evernote lancera automatiquement l'action onclick.
  • Ces fichiers peuvent facilement se propager sur Internet.

En utilisant des scripts XSS communs le chercheur a pu lire le contenu des fichiers locaux et d'interagir avec l'ordinateur. Un autre exemple est la possibilité de lancer une application. Pour lire l'accès complet de la divulgation de la annonce de sécurité.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Correctifs Adobe 112 Vulnérabilités dans le dernier paquet Patch (CVE-2018-5007) Adobe a publié le dernier package de correctifs qui résout un...
  2. CVE-2019-12592: Web Clipper pour evernote Chrome Flaw Permet vol de données The Evernote Web Clipper For Chrome extension has been identified...
  3. Evernote App Changements de confidentialité de laisser les employés lire les notes des utilisateurs L'application notoire Evernote, installed by default in some Android...
  4. Google, Bugs Microsoft Top la 20 La plupart des vulnérabilités Répandu Enterprise La société de cybersécurité Tenable vient de publier son rapport Vulnerability Intelligence qui....
  5. Quel est le navigateur le plus sécurisé pour 2015 – Firefox, Chrome, Internet Explorer, Safari Un navigateur Web peut être deux choses. Une personne qui...
  6. Fenêtres personnalisées 10 Les thèmes peuvent être utilisés de manière abusive pour voler les informations d'identification des utilisateurs Un chercheur en sécurité a découvert que Windows 10 themes can...
  7. Mise à jour de Google Android Dernières correctifs de sécurité 47 Vulnérabilités Google a livré sa dernière et probablement dernière mise à jour Android..
  8. CVE-2022-31656: Vulnérabilité critique de contournement de l'authentification VMware VMware a récemment publié un autre ensemble de correctifs traitant d'un certain nombre de problèmes..

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord