Cảnh báo lỗ hổng bảo mật nghiêm trọng trong Evernote làm rò rỉ dữ liệu nhạy cảm người dùng

Các nhà nghiên cứu của hãng bảo mật Guardio vừa phát hiện lỗ hổng nghiêm trọng trong tiện ích mở rộng Chrome Evernote Web Clipper có thể cho phép kẻ tấn công tiềm năng truy cập các thông tin nhạy cảm của người dùng từ các dịch vụ trực tuyến của bên thứ 3.

Theo hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các công ty đang sử dụng tiện ích mở rộng. Tại thời điểm hiện tại có khoảng 4.600.000 người dùng đang sử dụng tiện ích.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung

Lỗ hổng Universal Cross-site Scripting

Lỗ hổng bảo mật có tên Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS), được đánh dấu là CVE-2019-12592, có nguồn gốc từ lỗi mã hóa logic Evernote Web Clipper làm cho nó có thể "bỏ qua chính sách ban đầu của trình duyệt, cấp đặc quyền thực thi mã từ xa trong Iframes ngoài miền của Evernote".

Sau khi tính năng bảo mật cách ly trang web của Chrome bị lỗi, dữ liệu người dùng từ các tài khoản trên các trang web không còn được bảo vệ, điều này cho phép kẻ xấu có thể truy cập các thông tin, dữ liệu nhạy cảm của người dùng bao gồm các thông tin thẻ ngân hàng, các cuộc trò chuyện riêng tư trên các mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung 2

Kẻ tấn công thực hiện điều này bằng cách chuyển hướng các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ "đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...".

Guardio cũng cung cấp Proof-of-Concept (PoC) cho lỗ hổng CVE-2019-12592 , minh họa cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập các mạng xã hội và các thông tin thẻ tín dụng, ngân hàng , các cuộc trò chuyện riêng tư, dữ liệu mua sắm, dữ liệu xác thực và email người dùng.

Lỗ hổng UXSS trong Evernote Web Clipper đã được vá

Evernote đã phát hành bản vá lỗ hổng ngay sau khi nhận được báo cáo của Guardio. Bản vá đầy đủ bao gồm các chức năng được phát hành vào hôm 4/6 vừa qua.

Người dùng được khuyến cáo cài đặt bản vá tiện ích mở rộng Web Clipper càng sớm càng tốt. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra xem bạn đã cài đặt phiên bản 7.11.1 hay chưa .

Nhà nghiên cứu bảo mật Michael Vainshtein của Guardio CTO cho biết lỗ hổng mà công ty phát hiện là minh chứng quan trọng trong việc nhắc nhở người dùng phải cân nhắc và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả các tiện ích mở rộng đáng tin cậy nhất cũng có thể chứa các lỗ hổng, cơ hội cho kẻ tấn công.

Vào năm 2017, Evernote đã thay đổi chính sách quyền riêng tư, cho phép các nhân viên của hãng đọc các nội dung ghi chú của khách hàng chưa được mã hóa, tuy nhiên chính sách này vấp phải phản ứng dữ dội từ phía người dùng.

Mới đây, cụ thể là vào giữa tháng 4, công ty đã vá lỗ hổng Path Traversal, cho phép kẻ tấn công chạy các ứng dụn, file được lưu trữ cục bộ trên máy Mac mục tiêu.

https://thuthuat.taimienphi.vn/canh-bao-lo-hong-bao-mat-nghiem-trong-trong-evernote-lam-ro-ri-du-lieu-nhay-cam-nguoi-dung-48476n.aspx
Đừng quên truy cập Taimienphi.vn để cập nhật các tin công nghệ mới nhất nhé. Mới đây, người dùng iOS đã có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là thông tin mobile nổi bật trong ngày vừa qua.

Tác giả: Công Lý     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách sử dụng Evernote online, quản lý ghi chú
Cảnh báo lỗ hổng trên chip Bluetooth khiến hàng triệu thiết bị bị tấn công từ xa
Google tiết lộ lỗ hổng nghiêm trọng trong nhân macOS
Lỗ hổng GnuPG cho phép kẻ tấn công giả mạo chữ ký
Bản cập nhật bảo mật Foxit Reader vá 118 lỗ hổng
Từ khoá liên quan:

lỗ hổng bảo mật nghiêm trọng trong Evernote

, lỗ hổng Evernote làm rò rỉ dữ liệu nhạy cảm người dùng, lỗ hổng bảo mật nghiêm trọng,

SOFT LIÊN QUAN
  • Evernote

    Ghi chú công việc, học tập

    Evernote cho phép tạo ra các ghi chú để nhắc nhở những nội dung quan trọng cho học tập, công việc, kế hoạch cuộc sống....Bạn có thể đưa các nội dung đồ họa hay bảng biểu vào ghi chú, hỗ trợ nhiều định dạng ghi chú khác nhau, nhiều phương thức tìm kiếm ghi chú, gán các danh mục vào ghi chú một cách tự động, khả năng nhận diện những ghi chú được viết bằng tay.

Tin Mới

  • Bing Translator - Dịch nhanh văn bản trên Word

    Bạn có thể dịch văn bản trực tiếp trong Word bằng công cụ Bing Translator, giúp tiết kiệm thời gian mở các phần mềm dịch khác. Cách dịch nhanh văn bản trên Word bằng Bing Translator sẽ được Taimienphi.vn hướng dẫn cụ

  • Adobe sắp phát hành Photoshop phiên bản web miễn phí cho tất cả người dùng

    Adobe hiện đang thử nghiệm phiên bản Photoshop Online miễn phí cho tất cả người dùng. Bản dùng thử hiện giới hạn cho người dùng ở Canada nhưng sẽ sớm mở rộng cho người dùng ở các khu vực khác. Hiện tại người dùng ở Canada có thể truy cập Photoshop trên web thông qua tài khoản Adobe miễn phí.

  • Facebook Messenger có phiên bản trên Web rất tiện dụng

    Ngay từ lúc ra mắt, Facebook Messenger phiên bản web đã được nhiều người lựa chọn bởi tính năng tiện dụng, đáp ứng được người dùng. Thay vì truy cập vào Facebook, bạn hoàn toàn có thể sử dụng trò chuyện dễ dàng. Chúng ta cùng trải nghiệm phiên bản Facebook Messenger trên Web này nhé.

  • Hướng dẫn cách đăng ký tài khoản VNEID trên điện thoại

    Đăng ký tài khoản VNEID là bước quan trọng để trải nghiệm toàn bộ dịch vụ của VNEID, ứng dụng định danh điện tử công dân số quốc gia Việt Nam có giá trị sử dụng thay thế các giấy tờ truyền thống. Người dùng cần đăng ký VNEID và kích hoạt tài khoản VNEID các mức độ, xác thực thông tin để truy cập các dịch vụ trực tuyến, thực hiện thủ tục hành chính.