Casa > cibernético Notícias > Vulnerabilidade do Evernote usada para roubar arquivos de usuários vítimas
CYBER NEWS

Vulnerabilidade do Evernote abusada para roubar arquivos de usuários vítimas

por   |  Last Update:  |  0 Comentários  

Uma nova vulnerabilidade do Evernote foi anunciada recentemente e permite que hackers sequestrem arquivos das vítimas. É um bug de script entre sites (XSS) que também dá aos operadores a capacidade de executar comandos arbitrários. Enquanto um patch foi lançado, logo após seu lançamento, foi confirmado que a falha ainda permitia que hackers injetassem código de malware.




A vulnerabilidade do Evernote ameaça os usuários do Windows

Descobriu-se que o popular aplicativo Evernote para Windows é vulnerável a um script entre sites que era conhecido no passado. Foi corrigido pela empresa em outubro com o lançamento de uma versão beta, mais tarde, a correção estava disponível para todos os usuários. O bug naquela época foi rastreado no Consultoria CVE-2018-18524 que está atualmente sob embargo.

No entanto, mais tarde, um pesquisador de segurança conhecido pelo apelido Sebao descobriu que o problema de sequestro de arquivo foi resolvido, mas ao mesmo tempo o outro problema permanece. Descobriu-se que versões do Windows com patch do aplicativo Evernote ainda permitem que usuários mal-intencionados executem códigos arbitrários mal-intencionados. UMA prova de conceito a demonstração foi feita usando uma foto como arquivo de carga útil.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4013-mplayer-vlc/”]CVE-2018-4013: MPlayer e VLC são afetados por uma vulnerabilidade crítica

O mecanismo de injeção é muito simples e pode ser abusado até mesmo por hackers iniciantes. Ele segue um processo passo a passo:

  • Uma foto deve ser adicionada a uma nota do usuário. Pode ser qualquer arquivo que o usuário possa usar.
  • Quando é renomeado com o seguinte nome “” onclick =”alerta(1)”> .jpg” O motor do Evernote iniciará automaticamente a ação onclick.
  • Esses arquivos podem ser facilmente espalhados na Internet.

Usando scripts XSS comuns, o pesquisador foi capaz de ler o conteúdo de arquivos locais e interagir com o computador. Outro exemplo foi a capacidade de lançar um aplicativo. Para ler a divulgação completa, acesse o anúncio de segurança.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Adobe Patches 112 Vulnerabilidades no Últimas Patch Package (CVE-2018-5007) A Adobe lançou o pacote de patch mais recente que aborda um...
  2. CVE-2019-12592: Evernote Web Clipper para Chrome Falha permite roubo de dados The Evernote Web Clipper For Chrome extension has been identified...
  3. Evernote App Alterações Privacidade para permitir que os funcionários ler as notas de usuários O notório aplicativo Evernote, installed by default in some Android...
  4. Google, Erros da Microsoft topo do 20 Mais prevalente Empresa Vulnerabilities A empresa de segurança cibernética Tenable acaba de lançar seu Relatório de Inteligência de Vulnerabilidade, que ...
  5. Qual é o navegador mais seguro para 2015 – Raposa de fogo, cromada, Internet Explorer, Safári Um navegador da Web pode ser duas coisas. Uma pessoa que...
  6. Janelas personalizadas 10 Temas podem ser usados ​​para roubar credenciais do usuário Um pesquisador de segurança descobriu que o Windows 10 themes can...
  7. do Google mais recente atualização corrige Segurança Android 47 vulnerabilidades O Google entregou sua última e provavelmente última atualização do Android..
  8. CVE-2022-31656: Vulnerabilidade crítica de desvio de autenticação VMware A VMware lançou recentemente outro conjunto de patches abordando uma série de....

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo