Разработчики сервиса для создания заметок Evernote устранили в приложении для Windows уязвимость, которая позволяла злоумышленникам читать произвольные файлы на компьютерах пользователей.
Читайте также
Эксперты нашли уязвимость в Microsoft Word
Как сообщает «Хакер», баг был обнаружен специалистами компании Knownsec и представлял опасность для версий младше 6.15.
Исследователи публично рассказали о проблеме в своем блоге. По сути, уязвимость позволяла хакеру запускать на машине жертвы произвольные программы и выполнять команды, причем для этого нужно было лишь поделиться с пользователем заметкой, вынудив ее просмотреть.
Баг представлял собой так называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость.
Устранение проблемы, как отмечается, осуществлялось в два этапа. Изначально опасный баг нашел специалист, известный под ником Sebao. Он обнаружил, что если добавить в заметку Evernote изображение, а затем переименовать его, в имя можно встроить код JavaScript. Если поделиться такой заметкой с другим пользователем, код будет выполнен, когда получатель нажмет на картинку. Эту уязвимость разработчики устранили еще в сентябре текущего года.
Продолжив изучение проблемы, исследователи обнаружили, что в имя изображения по-прежнему можно встроить код для загрузки файла .js с удаленного сервера, и задействовать NodeWebKit, используемый Evernote в режиме презентации.
Ранее сообщалось, что сайт Министерства по вопросам временно оккупированных территорий и внутренне перемещенных лиц Украины 2 и 3 ноября подвергся кибератаке.
Неизвестным злоумышленникам удалось получить доступ к панели управления сайтом. В результате ряд страниц сайта было модифицировано для распространения спама.
