- Der Vergleich
- Video
- Eine Sicherheitslücke bei Evernote hätte die Daten von Millionen von Benutzern preisgeben können
Sicherheitsforscher haben einen kritischen Fehler in der Chrome-Erweiterung Evernote Web Clipper entdeckt, der es potenziellen Angreifern ermöglichen könnte, über Online-Dienste Dritter auf die persönlichen Daten eines Benutzers zuzugreifen. Das Sicherheitsunternehmen Guardio entdeckte die Schwachstelle, ein Universal Cross-Site Script (UXSS) mit dem Namen CVE-2019-12592, im Rahmen seiner laufenden Sicherheitstests mithilfe einer proprietären Kombination. Interne Technologie und Forscher. Nach der Entdeckung teilte das Unternehmen Evernote die Schwachstelle sofort mit und der Notizdienst stellte in weniger als einer Woche schnell eine vollständige Lösung zusammen. Aufgrund der allgemeinen Beliebtheit von Evernote könnte das Problem jedoch die 4.6 Millionen Verbraucher und Unternehmen betreffen, die die Chrome-Erweiterung verwenden.
Clipper-Weberweiterung
Bevor Evernote das Problem behoben hat, hätte der Codierungslogikfehler in der Clipper-Weberweiterung es einem Angreifer ermöglichen können, die gleiche Strategie wie im ursprünglichen Chrome zu umgehen, die Codeausführungsrechte für Iframes auf anderen Websites als Evernote gewährt hätte. Ohne die Domänenisolationsmechanismen von Chrome könnte Code ausgeführt werden, der es einem Angreifer ermöglicht, im Namen des Benutzers Maßnahmen zu ergreifen und Zugriff auf vertrauliche Benutzerinformationen auf relevanten Webseiten und Diensten Dritter zu gewähren, einschließlich der Authentifizierung, Finanzdetails usw Social-Media-Gespräche. , persönliche E-Mails und mehr. Michael Vainshtein, CTO von Guardio, erklärte, warum Browser-Erweiterungen genau unter die Lupe genommen werden sollten: „Die von uns entdeckte Schwachstelle zeigt, wie wichtig es ist, Browser-Erweiterungen genau im Auge zu behalten. Benutzer sollten sich darüber im Klaren sein, dass selbst die vertrauenswürdigsten Erweiterungen eine dedizierte Angriffsspur enthalten können.“ Es ist nur eine einfache ungesicherte Erweiterung erforderlich, um alles, was Sie tun oder online tun, zu gefährden. Der Trainingseffekt ist sofort und intensiv.“ Via Bleeding Computer