Zero
Evernote ha patchato un difetto in Microsoft Windows versione dell’app che ha permesso stored XSS per verificarsi.
La vulnerabilità CVE-2018-18524, è stato risolto in Evernote per Windows 6.16.1 beta.
Il principale difetto di sicurezza influenzato Evernote per Windows 6.14 ed è stato scoperto da TongQing Zhu dal Knownsec 404 squadra.
Come descritto in un post sul blog, la settimana scorsa, il cross-site scripting (XSS) il problema è stato scoperto come file locali — compreso la vittoria.ini e calc.exe -sono stati in grado di essere letto.
CNET: gli Hacker riferito target elettorale, dati elettorali davanti midterms
Evernote è consentito l’uso di caratteri e frasi come “onclick = “alert(1)” quando ridenominazione e l’apertura di file di immagine, ed è stata questa mancanza di convalida, che ha consentito ai ricercatori di creare una stored XSS.
XSS è un comune vettore di attacco per tutto: per le sessioni del browser per le applicazioni mobili. Mentre riflette gli attacchi XSS rimbalzerà uno script dannoso su di una sessione di navigazione, stored XSS sono il più pericoloso dei due, in quanto permette di script dannosi per essere iniettato direttamente in un browser o un’altra forma di software.
TechRepublic: nuove minacce per Mac ambienti
Gli attacchi XSS che può portare a un account di compromesso, di dirottamento del browser, e l’esecuzione di malware payload via exploit kit.
In Evernote caso, tuttavia, il ricercatore si è ulteriormente approfondito e scoperto che era anche in grado di caricare Nodejs codice stored XSS, nelle Presenti modalità di Evernote per Windows 6.15 — e i file dannosi potrebbero essere condivisi con altri account tramite il lavoro chat, portando all’esecuzione di codice.
Vedi anche: Bleedingbit zero-day chip difetti possono esporre maggior parte delle imprese per l’esecuzione di codice remoto attacchi
Knownsec 404 scoperto i difetti su settembre 27, riportando le sue conclusioni a Evernote lo stesso giorno. Evernote rapidamente confermato il bug e ha deliberato di loro nel mese di ottobre, durante l’applicazione dell’ultimo aggiornamento di Evernote Per Windows 6.16.1 beta.
ZDNet ha raggiunto Evernote si aggiorna se sentiamo di ritorno.
Precedente e relativa copertura
Google Chrome 71 continuerà giro di vite sui siti abusive, annunci Magecart crediti fresca vittima in kit elettronica venditore Kitronik Ricercatori hanno trovato che Stuxnet, Mirai, WannaCry in agguato in industrial drive USB
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0