Noll
Evernote har lappat ett fel i Microsoft Windows-versionen av appen som tillåts lagras XSS-attacker förekommer.
Sårbarheten, CVE-2018-18524, har lösts i Evernote för Windows 6.16.1 beta.
De viktigaste säkerhetsbrist påverkat Evernote för Windows 6.14 och upptäcktes av TongQing Zhu från Knownsec 404 team.
Som beskrivs i ett blogginlägg förra veckan, cross-site scripting (XSS) frågan upptäckt som lokala filer-inklusive vinna.ini och calc.exe — kunde läsas.
CNET: Hackare uppges ha mål valförrättarna, väljare data före midterms
Evernote är tillåtet att använda tecken och fraser som “onclick = “alert(1)” när döpa och öppna bildfiler, och det var denna brist på validering, som får forskare att skapa en lagrad XSS.
XSS är ett gemensamt angrepp på allt från webbläsare sessioner för mobila applikationer. Samtidigt som återspeglas XSS-attacker kommer att studsa ett skadligt skript på sessionen, lagras XSS-attacker är den farligaste av de två eftersom det tillåter skript för att injiceras direkt i en webbläsare eller annan form av programvara.
TechRepublic: Växande hot mot Mac-miljö
Framgångsrika XSS-attacker kan leda till konto kompromiss, kapning av webbläsare, och genomförande av skadlig kod nyttolaster via exploit kits.
I Evernote är fallet, men forskaren utforskas närmare och fann att han fick också möjlighet att ladda Nodejs koden genom att lagras XSS under Nuvarande läge i Evernote för Windows 6.15 — och skadliga filer kan delas med andra företag via arbete chattar, vilket leder till kod.
Se även: Bleedingbit zero-day-chip brister kan exponera de flesta företag för att fjärrkörning av kod attacker
Knownsec 404 upptäckte brister i September 27, rapportera sina resultat till Evernote på samma dag. Evernote snabbt bekräftade buggar och löst dem i oktober under appens senaste uppdateringen, Evernote För Windows 6.16.1 beta.
ZDNet har nått ut till Evernote och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Google Chrome 71 kommer att fortsätta angreppen på platser med kränkande annonser Magecart fordringar färska offer i elektronik kit säljaren Kitronik Forskare hitta Stuxnet, Mirai, WannaCry lurar i industriell USB-enheter
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0