Cảnh báo lỗ hổng bảo mật nghiêm trọng trong Evernote làm rò rỉ dữ liệu nhạy cảm người dùng

Các nhà nghiên cứu của hãng bảo mật Guardio vừa phát hiện lỗ hổng nghiêm trọng trong tiện ích mở rộng Chrome Evernote Web Clipper có thể cho phép kẻ tấn công tiềm năng truy cập các thông tin nhạy cảm của người dùng từ các dịch vụ trực tuyến của bên thứ 3.

Theo hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các công ty đang sử dụng tiện ích mở rộng. Tại thời điểm hiện tại có khoảng 4.600.000 người dùng đang sử dụng tiện ích.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung

Lỗ hổng Universal Cross-site Scripting

Lỗ hổng bảo mật có tên Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS), được đánh dấu là CVE-2019-12592, có nguồn gốc từ lỗi mã hóa logic Evernote Web Clipper làm cho nó có thể "bỏ qua chính sách ban đầu của trình duyệt, cấp đặc quyền thực thi mã từ xa trong Iframes ngoài miền của Evernote".

Sau khi tính năng bảo mật cách ly trang web của Chrome bị lỗi, dữ liệu người dùng từ các tài khoản trên các trang web không còn được bảo vệ, điều này cho phép kẻ xấu có thể truy cập các thông tin, dữ liệu nhạy cảm của người dùng bao gồm các thông tin thẻ ngân hàng, các cuộc trò chuyện riêng tư trên các mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung 2

Kẻ tấn công thực hiện điều này bằng cách chuyển hướng các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ "đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...".

Guardio cũng cung cấp Proof-of-Concept (PoC) cho lỗ hổng CVE-2019-12592 , minh họa cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập các mạng xã hội và các thông tin thẻ tín dụng, ngân hàng , các cuộc trò chuyện riêng tư, dữ liệu mua sắm, dữ liệu xác thực và email người dùng.

Lỗ hổng UXSS trong Evernote Web Clipper đã được vá

Evernote đã phát hành bản vá lỗ hổng ngay sau khi nhận được báo cáo của Guardio. Bản vá đầy đủ bao gồm các chức năng được phát hành vào hôm 4/6 vừa qua.

Người dùng được khuyến cáo cài đặt bản vá tiện ích mở rộng Web Clipper càng sớm càng tốt. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra xem bạn đã cài đặt phiên bản 7.11.1 hay chưa .

Nhà nghiên cứu bảo mật Michael Vainshtein của Guardio CTO cho biết lỗ hổng mà công ty phát hiện là minh chứng quan trọng trong việc nhắc nhở người dùng phải cân nhắc và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả các tiện ích mở rộng đáng tin cậy nhất cũng có thể chứa các lỗ hổng, cơ hội cho kẻ tấn công.

Vào năm 2017, Evernote đã thay đổi chính sách quyền riêng tư, cho phép các nhân viên của hãng đọc các nội dung ghi chú của khách hàng chưa được mã hóa, tuy nhiên chính sách này vấp phải phản ứng dữ dội từ phía người dùng.

Mới đây, cụ thể là vào giữa tháng 4, công ty đã vá lỗ hổng Path Traversal, cho phép kẻ tấn công chạy các ứng dụn, file được lưu trữ cục bộ trên máy Mac mục tiêu.

http://thuthuat.taimienphi.vn/canh-bao-lo-hong-bao-mat-nghiem-trong-trong-evernote-lam-ro-ri-du-lieu-nhay-cam-nguoi-dung-48476n.aspx
Đừng quên truy cập Taimienphi.vn để cập nhật các tin công nghệ mới nhất nhé. Mới đây, người dùng iOS đã có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là thông tin mobile nổi bật trong ngày vừa qua.

Tác giả: Nguyễn Thành Nam - NTN     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

WinRAR vá lỗ hổng bảo mật nghiêm trọng tồn tại trong suốt 19 năm
Cảnh báo lỗ hổng trên chip Bluetooth khiến hàng triệu thiết bị bị tấn công từ xa
Google tiết lộ lỗ hổng nghiêm trọng trong nhân macOS
Lỗ hổng GnuPG cho phép kẻ tấn công giả mạo chữ ký
Bản cập nhật bảo mật Foxit Reader vá 118 lỗ hổng
Từ khoá liên quan:

lỗ hổng bảo mật nghiêm trọng trong Evernote

, lỗ hổng Evernote làm rò rỉ dữ liệu nhạy cảm người dùng, lỗ hổng bảo mật nghiêm trọng,

SOFT LIÊN QUAN
  • Evernote

    Ghi chú công việc, học tập

    Evernote cho phép tạo ra các ghi chú để nhắc nhở những nội dung quan trọng cho học tập, công việc, kế hoạch cuộc sống....Bạn có thể đưa các nội dung đồ họa hay bảng biểu vào ghi chú, hỗ trợ nhiều định dạng ghi chú khác nhau, nhiều phương thức tìm kiếm ghi chú, gán các danh mục vào ghi chú một cách tự động, khả năng nhận diện những ghi chú được viết bằng tay.

Tin Mới

  • Tor Browser 8.5.3 vá lỗ hổng bảo mật Zero-day trên Firefox

    Bản phát hành Tor Browser 8.5.3 vá lỗ hổng bảo mật Zero-day trên trình duyệt Firefox. Cụ thể lỗ hổng có tên Sandbox Escape được sử dụng làm một phần trong cuộc tấn công nhắm mục tiêu chông lại các công ty tiền điện thử. Vì lỗ hổng đang được khai thác, vì vậy người dùng được khuyến cáo cập nhật lên phiên bản Tor mới nhất càng sớm càng tốt.

  • Adobe mang Lightroom trở lại Mac App Store

    Adobe vừa mang Lightroom, công cụ quản lý và chỉnh sửa ảnh chuyên nghiệp trở lại Mac App Store. Đây là ứng dụng Adobe đầu tiên có mặt trên Mac App Store kể từ khi Apple thiết kế lại cửa hàng của mình trên phiên bản macOS Mojave được phát hành năm ngoái.

  • Kiểm tra dung lượng 3G các nhà mạng Viettel, Mobiphone, Vinaphone

    Làm thế nào để kiểm tra dung lượng 3G các nhà mạng Viettel, Mobiphone, Vinaphone, biết được chính xác dung lượng 3G hay 4G mà mình đang sử dụng còn bao nhiêu hay đã bị bóp băng thông do sử dụng quá mức cho phép. Với

  • Soạn Văn lớp 12 - Bài Vợ Nhặt

    Tài liệu soạn văn lớp 12 bài Vợ nhặt giúp các em học sinh chủ động hơn trong việc tiếp nhận các kiến thức liên quan đến tác phẩm, bên cạnh đó việc soạn bài trước khi đến lớp cũng là kĩ năng cần có để các em tiếp cận gần hơn với nội dung văn bản và dễ dàng hơn trong việc học bài trên lớp.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá