этот материал доступен на русском

У додатку Evernote усунули вразливість, яка дозволяла хакерам читати файли користувачів

15:52, 08 листопада 2018
Наука та IT
1416 0
У додатку Evernote знайшли та усунули небезпечний баг / Ілюстрація REUTERS

Розробники сервісу для створення нотаток Evernote усунули в додатку Windows уразливість, яка дозволяла зловмисникам читати довільні файли на комп'ютерах користувачів.

Читайте такожЕксперти знайшли уразливість в Microsoft Word

Як повідомляє «Хакер», баг був виявлений фахівцями компанії Knownsec та становив небезпеку для версій молодше 6.15.

Дослідники публічно розповіли про проблеми у своєму блозі. По суті, вразливість дозволяла хакеру запускати на машині жертви довільні програми і виконувати команди, причому для цього потрібно було лише поділитися з користувачем заміткою, змусивши її переглянути.

Баг являв собою так звану stored XSS, тобто «сталу» або «постійну» XSS-вразливість.

Усунення проблеми, як наголошується, здійснювалося в два етапи. Спочатку небезпечний баг знайшов фахівець, відомий під ніком Sebao. Він виявив, що якщо додати замітку Evernote зображення, а потім перейменувати його, в ім'я можна вбудувати код JavaScript. Якщо поділитися такою приміткою з іншим користувачем, код буде виконаний, коли одержувач натисне на картинку. Цю уразливість розробники усунули ще у вересні цього року.

Продовжуючи вивчення проблеми, дослідники виявили, що в ім'я зображення можна вбудувати код для завантаження файлу .js з віддаленого сервера, і задіяти NodeWebKit, використовуваний Evernote в режимі презентації.

Раніше повідомлялося, що сайт Міністерства з питань тимчасово окупованих територій і внутрішньо переміщених осіб України 2 та 3 листопада піддався кібератаці.

Невідомим зловмисникам вдалося отримати доступ до панелі управління сайтом. В результаті деякі сторінки сайту було модифіковано для поширення спаму.

Якщо ви знайшли помилку, видiлiть її мишкою та натисніть Ctrl+Enter