Sicherheitsforscher haben einen kritischen Fehler in der Chrome-Erweiterung Evernote Web Clipper entdeckt, der es potenziellen Angreifern ermöglichen könnte, auf die persönlichen Daten eines Benutzers von Online-Diensten Dritter zuzugreifen.
Das Sicherheitsunternehmen Guardio entdeckte die Schwachstelle, ein Universal Cross-Site Script (UXSS), mit dem Namen CVE-2019-12592, als Teil seiner laufenden Sicherheitsanalysebemühungen unter Verwendung einer proprietären Mischung. Interne Technologie und Forscher.
Nach der Entdeckung teilte das Unternehmen Evernote die Schwachstelle sofort mit, und der Notizdienst stellte in weniger als einer Woche schnell eine vollständige Lösung zusammen.
Aufgrund der allgemeinen Popularität von Evernote könnte das Problem jedoch die 4.6 Millionen Verbraucher und Unternehmen betreffen, die die Chrome-Erweiterung verwenden.
Clipper-Weberweiterung
Bevor Evernote das Problem gelöst hat, hätte der logische Codierungsfehler in der Clipper-Weberweiterung es einem Angreifer ermöglichen können, dieselbe ursprüngliche Chrome-Strategie zu umgehen, die Codeausführungsberechtigungen auf Iframes auf anderen Websites als Evernote gewähren würde.
Ohne die Domänenisolationsmechanismen von Chrome könnte Code ausgeführt werden, der es einem Angreifer ermöglicht, Aktionen im Namen des Benutzers auszuführen, sowie Zugriff auf die vertraulichen Informationen des Benutzers auf relevanten Webseiten und Diensten von Drittanbietern zu gewähren, einschließlich der Authentifizierung und finanzieller Details und Gespräche in sozialen Netzwerken. , persönliche E-Mails und mehr.
Guardio CTO Michael Vainshtein erklärte, warum Browsererweiterungen gründlich geprüft werden sollten:
"Die Schwachstelle, die wir entdeckt haben, zeigt, wie wichtig es ist, Browsererweiterungen genau im Auge zu behalten. Benutzer sollten sich darüber im Klaren sein, dass selbst die vertrauenswürdigsten Erweiterungen eine dedizierte Angreiferspur enthalten können. Es braucht nur eine einfache unsichere Erweiterung, um zu kompromittieren." oder online. Die Wirkung des Trainings ist unmittelbar und intensiv.“
Durch den blutenden Computer
