Cảnh báo lỗ hổng bảo mật nghiêm trọng trong Evernote làm rò rỉ dữ liệu nhạy cảm người dùng

Các nhà nghiên cứu của hãng bảo mật Guardio vừa phát hiện lỗ hổng nghiêm trọng trong tiện ích mở rộng Chrome Evernote Web Clipper có thể cho phép kẻ tấn công tiềm năng truy cập các thông tin nhạy cảm của người dùng từ các dịch vụ trực tuyến của bên thứ 3.

Theo hãng bảo mật, do sự phổ biến rộng rãi của Evernote, lỗ hổng này có thể ảnh hưởng đến hàng triệu người dùng và các công ty đang sử dụng tiện ích mở rộng. Tại thời điểm hiện tại có khoảng 4.600.000 người dùng đang sử dụng tiện ích.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung

Lỗ hổng Universal Cross-site Scripting

Lỗ hổng bảo mật có tên Universal Cross-site Scripting (UXSS) (hay còn gọi là Universal XSS), được đánh dấu là CVE-2019-12592, có nguồn gốc từ lỗi mã hóa logic Evernote Web Clipper làm cho nó có thể "bỏ qua chính sách ban đầu của trình duyệt, cấp đặc quyền thực thi mã từ xa trong Iframes ngoài miền của Evernote".

Sau khi tính năng bảo mật cách ly trang web của Chrome bị lỗi, dữ liệu người dùng từ các tài khoản trên các trang web không còn được bảo vệ, điều này cho phép kẻ xấu có thể truy cập các thông tin, dữ liệu nhạy cảm của người dùng bao gồm các thông tin thẻ ngân hàng, các cuộc trò chuyện riêng tư trên các mạng xã hội, email cá nhân, ... từ các trang web của bên thứ 3.

canh bao lo hong bao mat nghiem trong trong evernote lam ro ri du lieu nhay cam nguoi dung 2

Kẻ tấn công thực hiện điều này bằng cách chuyển hướng các mục tiêu đến các trang web mà họ kiểm soát, sau đó tải các iframe ẩn với các trang web của bên thứ 3 được nhắm mục tiêu và kích hoạt cuộc khai thác được thiết kế để buộc Evernote tiêm nhiễm payload vào tất cả các iframe được tải, payload sẽ "đánh cắp cookies, thông tin cá nhân, thông tin đăng nhập, đăng ký Evernote, thực hiện các hành động như người dùng, ...".

Guardio cũng cung cấp Proof-of-Concept (PoC) cho lỗ hổng CVE-2019-12592 , minh họa cách lỗ hổng trong tiện ích mở rộng Evernote Web Clipper cho phép kẻ tấn công truy cập các mạng xã hội và các thông tin thẻ tín dụng, ngân hàng , các cuộc trò chuyện riêng tư, dữ liệu mua sắm, dữ liệu xác thực và email người dùng.

Lỗ hổng UXSS trong Evernote Web Clipper đã được vá

Evernote đã phát hành bản vá lỗ hổng ngay sau khi nhận được báo cáo của Guardio. Bản vá đầy đủ bao gồm các chức năng được phát hành vào hôm 4/6 vừa qua.

Người dùng được khuyến cáo cài đặt bản vá tiện ích mở rộng Web Clipper càng sớm càng tốt. Truy cập trang chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc và kiểm tra xem bạn đã cài đặt phiên bản 7.11.1 hay chưa .

Nhà nghiên cứu bảo mật Michael Vainshtein của Guardio CTO cho biết lỗ hổng mà công ty phát hiện là minh chứng quan trọng trong việc nhắc nhở người dùng phải cân nhắc và xem xét kỹ lưỡng các tiện ích mở rộng trình duyệt. Ngay cả các tiện ích mở rộng đáng tin cậy nhất cũng có thể chứa các lỗ hổng, cơ hội cho kẻ tấn công.

Vào năm 2017, Evernote đã thay đổi chính sách quyền riêng tư, cho phép các nhân viên của hãng đọc các nội dung ghi chú của khách hàng chưa được mã hóa, tuy nhiên chính sách này vấp phải phản ứng dữ dội từ phía người dùng.

Mới đây, cụ thể là vào giữa tháng 4, công ty đã vá lỗ hổng Path Traversal, cho phép kẻ tấn công chạy các ứng dụn, file được lưu trữ cục bộ trên máy Mac mục tiêu.

https://thuthuat.taimienphi.vn/canh-bao-lo-hong-bao-mat-nghiem-trong-trong-evernote-lam-ro-ri-du-lieu-nhay-cam-nguoi-dung-48476n.aspx
Đừng quên truy cập Taimienphi.vn để cập nhật các tin công nghệ mới nhất nhé. Mới đây, người dùng iOS đã có thể sử dụng điện thoại Android làm khóa bảo mật cho ứng dụng iOS là thông tin mobile nổi bật trong ngày vừa qua.

Tác giả: Công Lý     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách sử dụng Evernote online, quản lý ghi chú
WinRAR vá lỗ hổng bảo mật nghiêm trọng tồn tại trong suốt 19 năm
Cảnh báo lỗ hổng trên chip Bluetooth khiến hàng triệu thiết bị bị tấn công từ xa
Google tiết lộ lỗ hổng nghiêm trọng trong nhân macOS
Bản cập nhật bảo mật Foxit Reader vá 118 lỗ hổng
Từ khoá liên quan:

lỗ hổng bảo mật nghiêm trọng trong Evernote

, lỗ hổng Evernote làm rò rỉ dữ liệu nhạy cảm người dùng, lỗ hổng bảo mật nghiêm trọng,

SOFT LIÊN QUAN
  • Evernote

    Ghi chú công việc, học tập

    Evernote cho phép tạo ra các ghi chú để nhắc nhở những nội dung quan trọng cho học tập, công việc, kế hoạch cuộc sống....Bạn có thể đưa các nội dung đồ họa hay bảng biểu vào ghi chú, hỗ trợ nhiều định dạng ghi chú khác nhau, nhiều phương thức tìm kiếm ghi chú, gán các danh mục vào ghi chú một cách tự động, khả năng nhận diện những ghi chú được viết bằng tay.

Tin Mới

  • Điểm mới trong Paint.NET 4.2.8

    Phần mềm Paint là công cụ chỉnh sửa ảnh trực quan, chuyên nghiệp nhưng lại hoàn toàn miễn phí, phiên bản Paint.NET 4.2.8 mới được cập nhật của phần mềm này đã khắc phục được những sự cố trong phiên bản trước đó, giúp bạn dễ dàng phối cảnh và chỉnh sửa từng chi tiết ảnh một cách dễ dàng.

  • Hướng dẫn cập nhật Skype cho Windows 10 phiên bản mới nhất

    Skype cho Windows 10 cập nhật một số cải tiến mới trên các phiên bản cho máy tính và máy tính bảng. Bản cập nhật và tải Skype cho Windows 10 mới chỉ có sẵn cho máy tính, hỗ trợ khả năng xem video và nghe nhạc cùng lúc.

  • Bản phát hành Tor Browser 9.0.2 có gì mới?

    Trong phiên bản Tor Browser 9.0.2, mới được phat hành gần đây, phần mềm hỗ trợ lướt web ẩn danh quen thuộc này đã có ra măt thêm hàng loạt những chỉnh sửa mới để tối ưu hiệu suất làm việc trên hầu hết các nền tảng máy tính hay điện thoại phổ biến nhất hiện nay.

  • Tranh tô màu doremon cho bé tập tô

    Tranh tô màu cho bé tập tô giúp các bé phát triển tư duy tốt, những bức tranh tô màu với những hình ảnh đáng yêu, ngộ nghĩnh sẽ giúp các bé rèn luyện tính tỉ mỉ và phân biệt màu sắc tốt hơn, đặc biệt tranh tô màu Doremon với chú mèo máy thông minh được nhiều bé yêu thích, sẽ giúp các bé thích thú hơn trong việc tô màu.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá