цей матеріал доступний українською

В приложении Evernote устранили уязвимость, позволявшую хакерам читать файлы пользователей

15:52, 08 ноября 2018
Наука и IT
1832 0
В приложении Evernote нашли и устранили опасный баг / Иллюстрация REUTERS

Разработчики сервиса для создания заметок Evernote устранили в приложении для Windows уязвимость, которая позволяла злоумышленникам читать произвольные файлы на компьютерах пользователей.

Читайте такжеЭксперты нашли уязвимость в Microsoft Word

Как сообщает «Хакер», баг был обнаружен специалистами компании Knownsec и представлял опасность для версий младше 6.15.

Исследователи публично рассказали о проблеме в своем блоге. По сути, уязвимость позволяла хакеру запускать на машине жертвы произвольные программы и выполнять команды, причем для этого нужно было лишь поделиться с пользователем заметкой, вынудив ее просмотреть.

Баг представлял собой так называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость.

Устранение проблемы, как отмечается, осуществлялось в два этапа. Изначально опасный баг нашел специалист, известный под ником Sebao. Он обнаружил, что если добавить в заметку Evernote изображение, а затем переименовать его, в имя можно встроить код JavaScript. Если поделиться такой заметкой с другим пользователем, код будет выполнен, когда получатель нажмет на картинку. Эту уязвимость разработчики устранили еще в сентябре текущего года. 

Продолжив изучение проблемы, исследователи обнаружили, что в имя изображения по-прежнему можно встроить код для загрузки файла .js с удаленного сервера, и задействовать NodeWebKit, используемый Evernote в режиме презентации.

Ранее сообщалось, что сайт Министерства по вопросам временно оккупированных территорий и внутренне перемещенных лиц Украины 2 и 3 ноября подвергся кибератаке.

Неизвестным злоумышленникам удалось получить доступ к панели управления сайтом. В результате ряд страниц сайта было модифицировано для распространения спама.

Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter