Cảnh báo lỗ hổng bảo mật nghiêm trọng trong Evernote làm rò rỉ dữ liệu nhạy cảm người dùng

Các nhà nghiên cứu của hãng bảo mật Guardio vừa phát hiện lỗ hổng nghiêm trọng trong tiện ích mở rộng Chrome Evernote Web Clipper có thể cho phép kẻ tấn công tiềm năng truy cập các thông tin nhạy cảm của người dùng từ các dịch vụ trực tuyến của bên thứ 3.

Theo hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các công ty đang sử dụng tiện ích mở rộng. Tại thời điểm hiện tại có khoảng 4.600.000 người dùng đang sử dụng tiện ích.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung

Lỗ hổng Universal Cross-site Scripting

Lỗ hổng bảo mật có tên Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS), được đánh dấu là CVE-2019-12592, có nguồn gốc từ lỗi mã hóa logic Evernote Web Clipper làm cho nó có thể "bỏ qua chính sách ban đầu của trình duyệt, cấp đặc quyền thực thi mã từ xa trong Iframes ngoài miền của Evernote".

Sau khi tính năng bảo mật cách ly trang web của Chrome bị lỗi, dữ liệu người dùng từ các tài khoản trên các trang web không còn được bảo vệ, điều này cho phép kẻ xấu có thể truy cập các thông tin, dữ liệu nhạy cảm của người dùng bao gồm các thông tin thẻ ngân hàng, các cuộc trò chuyện riêng tư trên các mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung 2

Kẻ tấn công thực hiện điều này bằng cách chuyển hướng các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ "đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...".

Guardio cũng cung cấp Proof-of-Concept (PoC) cho lỗ hổng CVE-2019-12592 , minh họa cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập các mạng xã hội và các thông tin thẻ tín dụng, ngân hàng , các cuộc trò chuyện riêng tư, dữ liệu mua sắm, dữ liệu xác thực và email người dùng.

Lỗ hổng UXSS trong Evernote Web Clipper đã được vá

Evernote đã phát hành bản vá lỗ hổng ngay sau khi nhận được báo cáo của Guardio. Bản vá đầy đủ bao gồm các chức năng được phát hành vào hôm 4/6 vừa qua.

Người dùng được khuyến cáo cài đặt bản vá tiện ích mở rộng Web Clipper càng sớm càng tốt. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra xem bạn đã cài đặt phiên bản 7.11.1 hay chưa .

Nhà nghiên cứu bảo mật Michael Vainshtein của Guardio CTO cho biết lỗ hổng mà công ty phát hiện là minh chứng quan trọng trong việc nhắc nhở người dùng phải cân nhắc và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả các tiện ích mở rộng đáng tin cậy nhất cũng có thể chứa các lỗ hổng, cơ hội cho kẻ tấn công.

Vào năm 2017, Evernote đã thay đổi chính sách quyền riêng tư, cho phép các nhân viên của hãng đọc các nội dung ghi chú của khách hàng chưa được mã hóa, tuy nhiên chính sách này vấp phải phản ứng dữ dội từ phía người dùng.

Mới đây, cụ thể là vào giữa tháng 4, công ty đã vá lỗ hổng Path Traversal, cho phép kẻ tấn công chạy các ứng dụn, file được lưu trữ cục bộ trên máy Mac mục tiêu.

http://thuthuat.taimienphi.vn/canh-bao-lo-hong-bao-mat-nghiem-trong-trong-evernote-lam-ro-ri-du-lieu-nhay-cam-nguoi-dung-48476n.aspx
Đừng quên truy cập Taimienphi.vn để cập nhật các tin công nghệ mới nhất nhé. Mới đây, người dùng iOS đã có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là thông tin mobile nổi bật trong ngày vừa qua.

Tác giả: Nguyễn Thành Nam - NTN     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách sử dụng Evernote online, quản lý ghi chú
WinRAR vá lỗ hổng bảo mật nghiêm trọng tồn tại trong suốt 19 năm
Cảnh báo lỗ hổng trên chip Bluetooth khiến hàng triệu thiết bị bị tấn công từ xa
Google tiết lộ lỗ hổng nghiêm trọng trong nhân macOS
Lỗ hổng GnuPG cho phép kẻ tấn công giả mạo chữ ký
Từ khoá liên quan:

lỗ hổng bảo mật nghiêm trọng trong Evernote

, lỗ hổng Evernote làm rò rỉ dữ liệu nhạy cảm người dùng, lỗ hổng bảo mật nghiêm trọng,

SOFT LIÊN QUAN
  • Evernote

    Ghi chú công việc, học tập

    Evernote cho phép tạo ra các ghi chú để nhắc nhở những nội dung quan trọng cho học tập, công việc, kế hoạch cuộc sống....Bạn có thể đưa các nội dung đồ họa hay bảng biểu vào ghi chú, hỗ trợ nhiều định dạng ghi chú khác nhau, nhiều phương thức tìm kiếm ghi chú, gán các danh mục vào ghi chú một cách tự động, khả năng nhận diện những ghi chú được viết bằng tay.

Tin Mới


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá