谷歌扩展插件Evernote Web Clipper爆漏洞,允许窃取数据

华盟学院山东省第二期线下学习计划

华盟君引言“安全专家发现谷歌浏览器插件Evernote Web Clipper存在一个漏洞黑客可以利用该漏洞从用户访问的网站窃取敏感数据

浏览器安全公司Guardio的安全专家在谷歌浏览器插件Evernote Web Clipper中发现了一个通用跨站脚本(XSS)漏洞。

在2019年5月,Guardio的研究团队发现了谷歌浏览器插件Evernote Web Clipper的一个关键漏洞。Guardio发布的一篇博客文章写道。“一个逻辑编码错误使得打破域隔离机制并代表用户执行代码成为可能——授予对敏感用户信息的访问权,而不限于Evernote的域。”

该漏洞被追踪为CVE-2019-12592,攻击者可以利用该漏洞操作恶意网站,绕过浏览器的同源策略(SOP),代表受害者执行任意代码。

插件Evernote Web Clipper扩展允许用户轻松地将在线内容保存到Evernote,包括网页、文章、图片、文本和电子邮件。该扩展插件拥有超过460万的用户。

攻击场景中,黑客诱骗受害者访问专门设计的加载隐藏iframe的网站。

专家在Evernote扩展中发现的漏洞允许攻击者向所有iframe上下文注入恶意负载,并窃取凭证、cookie和其他数据

研究人员还提供了一个概念验证(PoC)攻击的描述,从一个不知情的用户窃取敏感数据,攻击场景如下:

1.用户导航到攻击者的恶意网站(例如通过社交媒体、电子邮件、受攻击的博客评论等)。

2.恶意网站悄悄地加载隐藏的,合法的iframe标签(链接)的目标网站。

3.该漏洞由恶意网站触发,并导致Evernote的内部基础设施将攻击者控制的有效负载注入到所有iframe上下文中。

4.注入的有效载荷是为每个目标网站定制的,能够窃取cookie、证书、私人信息、作为用户执行操作等等。

Evernote Web Clipper for Chrome

漏洞时间线以下:

2019年5月27日——初步披露。

2019年5月28日-后续邮件。

2019年5月28日-确认发行并被归类为漏洞。

2019年5月29日-在Evernote的安全页面(链接)。

2019年5月31日——Evernote Web Clipper 7.11.1发布。

2019年6月4日- Fix确认。

www.idc126.com

本文由 华盟网 作者: 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论