XSS-уязвимость в Evernote приглашала войти в вашу Windows любого желающего

Опубликовано at 15:01
366 0

Специалисты по кибербезопасности компании Knownsec обнаружили опасный баг в Evernote для версий младше 6.15. Разработчики уже устранили в приложении для Windows уязвимость под кодовым номером CVE-2018-18524, сначала выпустив версию 6.16.1 beta, а затем представив релиз Evernote 6.16.4.

Данная уязвимость позволяла удаленному атакующему запускать на машине жертвы произвольные программы и выполнять команды. Все, что для этого требовалось сделать злоумышленнику — поделиться с пользователем заметкой, заинтересовав достаточно, чтобы тот ее просмотрел. Дыра представляла собой так называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость.

По словам аналитиков Knownsec, изначально опасный XSS-баг нашел ИБ-специалист, известный под ником Sebao. Он обнаружил, что если добавить в заметку Evernote изображение, а затем переименовать его, в имя можно встроить код JavaScript. Если поделиться такой заметкой с другим пользователем, код будет выполнен, когда получатель нажмет на картинку. Эту итерацию проблемы разработчики исправили еще в сентябре. Однако эксперты Knownsec заметили, что уязвимость не устранили до конца, и если пользователь откроет вредоносную заметку в режиме презентации, то XSS-уязвимость по-прежнему была на месте.

Через эту дыру мог запускать произвольные приложения. Пример эксплуатации уязвимости см. на приведенных ниже видео.

Подписываемся, следим @CyberAgency

Related Post

Google запретил продажу бургундского вина из-за высокого содержания оружия

Опубликовано - 28.02.2018 0
Даже адекватные международные корпорации иногда доходят до абсурда, когда речь идет о регулировании, связанном с указами президента. Из американского Google…

КП: Закон Яровой отсрочили из-за короткой памяти

Опубликовано - 23.01.2018 0
Операторы сотовой связи не спешат вкладываться в общественную безопасность Правительство пошло на встречу операторам связи, которых ранее обязали «законом Яровой» хранить весь…

Добавить комментарий