由於Chrome擴展中的缺陷,460萬Evernote用戶的數據面臨風險

Evernote Web Clipper Chrome Extension Security Vulnerability

您已經聽說要小心安裝的瀏覽器擴展程序是多麼重要,並且您知道在決定是否允許在瀏覽器附近的任何位置使用特定插件之前需要考慮哪種標準。理想情況下,您只需添加來自知名供應商的擴展程序,擁有大型用戶基礎,並享受大多數積極評價。 Evernote Web Clipper for Chrome如何疊加?

嗯,它是由為你帶來Evernote的人們開發的 - 一個流行的筆記應用程序。擴展本身的評分超過13萬人,平均評分約為4.7星,這令人印象深刻。根據Chrome網上應用店的說法,超過460萬用戶已經下載了它。

從理論上講,擴展使用起來非常安全。然而,在實踐中,直到幾週前,事實並非如此。

Evernote的Web Clipper Chrome擴展程序存在嚴重的安全漏洞

上個月,Guardio的研究人員https://guard.io/blog/evernote-universal-xss-vulnerability發現了一個與Web Clipper Chrome擴展相當嚴重的安全漏洞。這是一個通用的跨站點腳本漏洞,作為概念驗證漏洞演示 ,它可能被用來竊取Facebook帳戶信息到PayPal交易數據的任何內容。

這就是使漏洞如此危險的原因。正如Guardio所說,大多數易受攻擊的擴展程序的覆蓋範圍相當有限,只會影響插件供應商處理的數據。然而,Web Clipper擴展中的缺陷使得以任何方式盜竊與Evernote無關的各種信息。

所有黑客都需要做的是將受害者引誘到惡意網站並在iframe中隱藏一些代碼。清理機制中的錯誤意味著擴展可能被迫執行代碼並讓犯罪分子進入。

Evernote迅速解決了這個問題

正如您所看到的,即使為數百萬用戶提供服務的大公司在編寫軟件時也會犯錯誤。在這種情況下,了解這些錯誤是如何修復非常重要的,我們很高興地報告說Evernote非常重視此事。

5月27日,瓜迪奧與該軟件供應商取得聯繫並私下披露了安全問題。在24小時內,Evernote承認了這個問題並開始修復它。第二天,瓜迪奧的研究人員獲得了對Evernote安全名人堂的獎勵,兩天后,即5月31日,新版的Web Clipper Chrome擴展程序正式發布。 Guardio的專家已確認此更新修復了此漏洞,這意味著如果您在Chrome瀏覽器上使用Web Clipper,則必須確保其版本為7.11.1或更高版本。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 8是什麼?