آسیب پذیری Evernote Web Clipper منجر به سرقت اطلاعات میلیونها کاربر این سرویس شد.
مشکل امنیتی کشف شده که از نوع UXSS در افزونهی برنامهی Evernote نصب شده بر روی مرورگر کروم باعث میشود که مهاجمان بتوانند اطلاعات کاربر را بدست آوردند و مورد سوء استفاده قرار دهند. بر طبق گزارش شرکت امنیتی گاردیو (Guard.io)، آسیبپذیری درماه گذشته کشف شده است و میلیونها نفر را تحت تاثیر قرار میدهد.
شرکت Evernote
یکی از سرویسهای محبوب یادداشت برداری هست که با توجه به امکانات و هزینهی مناسب اشتراک در آن، توانسته است کاربران زیادی را به خود جذب کند. در سطح رایگان نیز، امکانات خوبی دارد.
حملهUXSS چیست؟
حملهی مشابه XSS و سمت کاربر، با این تفاوت که به مهاجم و هکر اجازه میهد به افزونهها نیز دسترسی داشته باشد. با توجه به نقص کشف شده، اشتباه تیم برنامه نویسی افزونه باعث شده که مهاجم بتواند به اطلاعاتی حساس کاربر در تمامی سایتهای مشاهده شده دسترسی پیدا کند.
به گفته محققان امنیتی گاردیو، نقص آسیب پذیری اسکریپت رخ داده شده نتیجه یک خطای منطقی در برنامه نویسی و یک مسئله Data sanitization در هنگام توسعه این افزونه وب بوده است.
آسیبپذیری با شناسه CVE-2019-12592 ثبت شده است و قابل پیگیری میباشد.
آسیبپذیری هم اکنون در آخرین بروزرسانی محصول رفع شده است. برای دریافت آخرین نسخه، به سایت توسعه دهنده مراجعه شود.
Major vulnerability in Evernote’s Web Clipper left user data of millions vulnerable