Nul
Evernote har lappet en fejl i Microsoft Windows-versionen af app ‘ en, som er tilladt gemt XSS-angreb til at opstå.
Den sårbarhed, CVE-2018-18524, er blevet løst i Evernote til Windows 6.16.1 beta.
Den største sikkerhedshul påvirket Evernote til Windows 6.14 og blev opdaget af TongQing Zhu fra Knownsec 404 team.
Som beskrevet i et blog-indlæg i sidste uge, cross-site scripting (XSS) spørgsmål blev afsløret som lokale filer-herunder vind.ini og calc.exe — var i stand til at blive læst.
CNET: Hackere efter sigende mål valgtilforordnede, vælgerne data forud for midterms
Evernote er tilladt brugen af tegn og sætninger som “onclick = “alert(1)” når du omdøber og åbning af image-filer, og det var denne manglende validering, som er tilladt forskeren til at oprette en gemt XSS.
XSS er et fælles angreb på alt fra browser sessioner til mobile applikationer. Mens afspejles XSS-angreb vil hoppe et skadeligt script på en browsersession, der er gemt XSS-angreb er den farligste af de to, da det giver mulighed for ondsindede scripts, der skal injiceres direkte i en browser eller en anden form for software.
TechRepublic: Nye trusler mod Mac-miljøer
Vellykket XSS-angreb kan føre til konto kompromis, browser hijacking, og udførelse af malware nyttelast via exploit kits.
I Evernote ‘ s tilfælde, men forskeren yderligere undersøgt og fundet, at han også var i stand til at indlæse Nodejs kode, som er gemt XSS under de Nuværende mode i Evernote til Windows 6.15 — og ondsindede filer kan deles med andre konti via arbejde chats, der fører til udførelse af kode.
Se også: Bleedingbit zero-day-chip, fejl kan udsætte størstedelen af virksomheder til fjernkørsel af programkode angreb
Knownsec 404 opdagede fejl på September 27, rapportering af resultaterne til Evernote, på den samme dag. Evernote hurtigt bekræftet fejl og løst dem i oktober i app ‘ s seneste opdatering, Evernote Til Windows 6.16.1 beta.
ZDNet har nået ud til Evernote og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Google Chrome 71 vil fortsat slår hårdt ned på sites med misbrug annoncer Magecart krav frisk offer i elektronik kit sælger Kitronik Forskere med at finde Stuxnet, Mirai, WannaCry lurer i industrielle USB-drev
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
0