Розробники сервісу для створення нотаток Evernote усунули в додатку Windows уразливість, яка дозволяла зловмисникам читати довільні файли на комп'ютерах користувачів.
Читайте такожЕксперти знайшли уразливість в Microsoft Word
Як повідомляє «Хакер», баг був виявлений фахівцями компанії Knownsec та становив небезпеку для версій молодше 6.15.
Дослідники публічно розповіли про проблеми у своєму блозі. По суті, вразливість дозволяла хакеру запускати на машині жертви довільні програми і виконувати команди, причому для цього потрібно було лише поділитися з користувачем заміткою, змусивши її переглянути.
Баг являв собою так звану stored XSS, тобто «сталу» або «постійну» XSS-вразливість.
Усунення проблеми, як наголошується, здійснювалося в два етапи. Спочатку небезпечний баг знайшов фахівець, відомий під ніком Sebao. Він виявив, що якщо додати замітку Evernote зображення, а потім перейменувати його, в ім'я можна вбудувати код JavaScript. Якщо поділитися такою приміткою з іншим користувачем, код буде виконаний, коли одержувач натисне на картинку. Цю уразливість розробники усунули ще у вересні цього року.
Продовжуючи вивчення проблеми, дослідники виявили, що в ім'я зображення можна вбудувати код для завантаження файлу .js з віддаленого сервера, і задіяти NodeWebKit, використовуваний Evernote в режимі презентації.
Раніше повідомлялося, що сайт Міністерства з питань тимчасово окупованих територій і внутрішньо переміщених осіб України 2 та 3 листопада піддався кібератаці.
Невідомим зловмисникам вдалося отримати доступ до панелі управління сайтом. В результаті деякі сторінки сайту було модифіковано для поширення спаму.