XSS-уязвимость в Evernote приглашала войти в вашу Windows любого желающего

Опубликовано at 15:01
77 0

Специалисты по кибербезопасности компании Knownsec обнаружили опасный баг в Evernote для версий младше 6.15. Разработчики уже устранили в приложении для Windows уязвимость под кодовым номером CVE-2018-18524, сначала выпустив версию 6.16.1 beta, а затем представив релиз Evernote 6.16.4.

Данная уязвимость позволяла удаленному атакующему запускать на машине жертвы произвольные программы и выполнять команды. Все, что для этого требовалось сделать злоумышленнику — поделиться с пользователем заметкой, заинтересовав достаточно, чтобы тот ее просмотрел. Дыра представляла собой так называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость.

По словам аналитиков Knownsec, изначально опасный XSS-баг нашел ИБ-специалист, известный под ником Sebao. Он обнаружил, что если добавить в заметку Evernote изображение, а затем переименовать его, в имя можно встроить код JavaScript. Если поделиться такой заметкой с другим пользователем, код будет выполнен, когда получатель нажмет на картинку. Эту итерацию проблемы разработчики исправили еще в сентябре. Однако эксперты Knownsec заметили, что уязвимость не устранили до конца, и если пользователь откроет вредоносную заметку в режиме презентации, то XSS-уязвимость по-прежнему была на месте.

Через эту дыру мог запускать произвольные приложения. Пример эксплуатации уязвимости см. на приведенных ниже видео.

Подписываемся, следим @CyberAgency

Related Post

Депутаты Мосгордумы «изобрели» преподавание кибербезопасности

Опубликовано - 15.02.2018 0
Депутаты Мосгордумы Надежда Перфилова и Лариса Картавцева предложили ввести уроки кибербезопасности в московских школах, сообщила «Вечерняя Москва». Агентство кибербезопасности это…

Более 4 тысяч правительственных сайтов США и Великобритании занимались скрытым майнингом

Опубликовано - 13.02.2018 0
И это не способ увеличить поступления в бюджет. Слабым местом всех этих сайтов оказалась версия для инвалидов. Порталы могут самостоятельно…

Добавить комментарий