Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Fallo crítico en la extensión popular de Evernote para usuarios de Chrome

  • 0 Respuestas
  • 957 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador Global
  • Mensajes: 805
  • Actividad:
    100%
  • Reputación 14
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil
« en: Junio 14, 2019, 01:55:24 pm »

Los investigadores de ciberseguridad descubren una falla crítica en la popular extensión de Evernote Chrome que podría haber permitido a los piratas informáticos secuestrar su navegador y robar información confidencial de cualquier sitio web al que accedió.

Evernote es un servicio popular que ayuda a las personas a tomar notas y organizar sus listas de tareas pendientes, y más de 4,610,000 usuarios han estado utilizando su Evernote Web Clipper Extension para el navegador Chrome.

Descubierta por Guardio, la vulnerabilidad ( CVE-2019-12592 ) residía en las formas en que la extensión de Evernote Web Clipper interactúa con sitios web, iframes y scripts de inyección, y finalmente rompe la política del mismo origen (SOP) y los mecanismos de aislamiento del dominio.


Según los investigadores, la vulnerabilidad podría permitir que un sitio web controlado por un atacante ejecute código arbitrario en el navegador en el contexto de otros dominios en nombre de los usuarios, lo que lleva a un problema de secuencias de comandos entre sitios universales (UXSS o Universal XSS).

"Un exploit completo que permitiría cargar un script controlado por un pirata informático remoto en el contexto de otros sitios web se puede lograr a través de un solo comando simple window.postMessage", dijeron los investigadores .

"Al abusar de la infraestructura de inyección prevista de Evernote, el script malicioso se inyectará en todos los marcos de destino en la página, independientemente de las restricciones de origen cruzado".





Como se muestra en la demostración en video, los investigadores también desarrollaron un exploit de prueba de concepto (PoC) que puede inyectar una carga útil personalizada en sitios web específicos y robar cookies, credenciales y otra información privada de un usuario desprevenido.

Sin duda, las extensiones agregan muchas funciones útiles a su navegador web, pero al mismo tiempo, la idea de confiar en el código de terceros es mucho más peligrosa de lo que la mayoría de las personas cree.

Dado que las extensiones se ejecutan en su navegador web, a menudo requieren la capacidad de realizar solicitudes de red, acceder y cambiar el contenido de las páginas web que visita, lo que representa una amenaza masiva para su privacidad y seguridad, no importa si lo ha instalado desde Las tiendas oficiales de Firefox o Chrome.


"Si bien el autor de la aplicación pretende brindar una mejor experiencia de usuario, las extensiones generalmente tienen permisos para acceder a una gran cantidad de recursos sensibles y representan un riesgo de seguridad mucho mayor que los sitios web tradicionales", advirtieron los investigadores.

El equipo de Guardio informó este problema de manera responsable a Evernote a fines del mes pasado, quien luego lanzó una versión actualizada y parcheada de su extensión Evernote Web Clipper para usuarios de Chrome.

Como el navegador Chrome periódicamente, generalmente cada 5 horas, busca nuevas versiones de las extensiones instaladas y las actualiza sin requerir la intervención del usuario, debe asegurarse de que su navegador esté ejecutando la última versión de Evernote 7.11.1 o posterior.








Vía: thehackernews.com

 

¿Te gustó el post? COMPARTILO!



"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 2676
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 2937
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 137
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
WhatsApp limita el reenvío de mensajes para combatir el "spam" y fake news

Iniciado por Ascendock

Respuestas: 0
Vistas: 1875
Último mensaje Julio 28, 2018, 12:04:00 am
por Ascendock
Jefe de RRHH de Google es tajante:"El Título Universitario no sirve para nada"

Iniciado por graphixx

Respuestas: 0
Vistas: 3550
Último mensaje Enero 27, 2016, 03:18:51 pm
por graphixx