Buzz
Theo thông báo từ hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các doanh nghiệp sử dụng tiện ích mở rộng. Hiện có khoảng 4.600.000 người dùng đang sử dụng ứng dụng này.
Phát hiện: Lỗ hổng Universal Cross-site Scripting đe dọa an ninh trực tuyến
Khám phá lỗ hổng bảo mật Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS) có mã CVE-2019-12592, xuất phát từ lỗi mã hóa logic của Evernote Web Clipper, mở cánh cho việc 'phớt lờ chính sách mặc định của trình duyệt, cấp quyền thực thi mã từ xa trong Iframes ở ngoài phạm vi của Evernote'.
Sau khi tính năng cách ly trang web của Chrome bị lỗi, dữ liệu từ các tài khoản trên các trang web không còn được bảo vệ, tạo điều kiện cho kẻ xấu tiếp cận thông tin nhạy cảm như thông tin thẻ ngân hàng, cuộc trò chuyện riêng tư trên mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.
Kẻ tấn công thực hiện điều này bằng cách đưa các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ 'đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...'.
Guardio cung cấp cách minh họa về lỗ hổng CVE-2019-12592 thông qua Bằng chứng Thực nghiệm (PoC), làm rõ cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập thông tin thẻ tín dụng, ngân hàng, cuộc trò chuyện riêng tư, thông tin mua sắm, thông tin xác thực và email người dùng.
Lỗ hổng UXSS trong Evernote Web Clipper đã được khắc phục
Evernote đã phát hành bản vá ngay sau khi nhận được thông báo từ Guardio. Bản vá đầy đủ chức năng đã được phát hành vào ngày 4/6 vừa qua.
Người dùng được khuyến nghị nhanh chóng cài đặt bản vá cho tiện ích mở rộng Web Clipper. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra phiên bản đã cài đặt là 7.11.1 hay chưa.
Nhà nghiên cứu an ninh mạng Michael Vainshtein, Giám đốc Kỹ thuật tại Guardio, nói rằng việc công bố lỗ hổng này là một tín hiệu quan trọng, nhấn mạnh sự cần thiết của việc người dùng cẩn trọng và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả những tiện ích mở rộng đáng tin cậy cũng có thể chứa lỗ hổng, mở cửa cho kẻ tấn công.
Năm 2017, Evernote thay đổi chính sách quyền riêng tư, cho phép nhân viên đọc nội dung ghi chú của khách hàng chưa được mã hóa, nhưng chính sách này đã gây ra sự phản đối mạnh mẽ từ người dùng.
Gần đây, đặc biệt là vào tháng 4, công ty đã khắc phục lỗ hổng Path Traversal, ngăn chặn kẻ tấn công chạy các ứng dụng và truy cập vào các tệp lưu trữ cục bộ trên máy Mac mục tiêu.
Hãy đừng quên kiểm tra Mytour để cập nhật những thông tin công nghệ mới nhất. Trong tin tức di động, người dùng iOS bây giờ có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là điểm đáng chú ý trong thời gian gần đây.
