安基網 首頁 資訊 安全報 查看內容

印象筆記擴展被曝嚴重漏洞,可泄露數百萬用戶的敏感信息

2019-6-13 17:37| 投稿: lofor |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 印象筆記 Web Clipper Chrome 擴展中被曝存在一個嚴重缺陷,可導致潛在攻擊者訪問用戶存儲在第三方網絡服務中的敏感信息。發現該漏洞的安全公司 Guardio 表示,“由于印象筆記廣為流行,該問題可能影響使用該擴展的 ...

印象筆記 Web Clipper Chrome 擴展中被曝存在一個嚴重缺陷,可導致潛在攻擊者訪問用戶存儲在第三方網絡服務中的敏感信息。

發現該漏洞的安全公司 Guardio 表示,“由于印象筆記廣為流行,該問題可能影響使用該擴展的客戶和企業,在發現之時它的用戶量為460萬左右。”

全局跨站點腳本缺陷

該問題是一個全局跨站點腳本 (UXSS) 漏洞,編號為 CVE-2019-12592,源自一個印象筆記 Web Clipper 邏輯編程錯誤,使其可能“繞過瀏覽器的同源策略,導致攻擊者能夠在印象筆記域名以外的內聯框架中獲得代碼執行權限。”

一旦 Chrome 的站點隔離安全功能崩潰,其它網站賬戶的用戶數據就無法受到保護,從而導致惡意人員能夠訪問第三方網站上的敏感的用戶信息,“包括社交媒體、個人郵件等中的認證、金融、私密會話。”

目標被重定向至受黑客控制的且加載目標第三方網站內聯框架的網站,并觸發旨在強迫印象筆記將惡意 payload 注入所有加載內聯框架的利用,而該 payload 將“竊取cookies、憑證、私人信息并以用戶身份執行動作等。”

Guardio 為CVE-2019-12592 設計出起作用的 PoC,展示了如何通過易受攻擊的印象筆記 Web Clipper Chrome 擴展版本獲取對社交媒體和金融信息、購物信息、私密信息、認證數據和郵件的訪問權限。

演示視頻

漏洞已修復

5月27日收到漏洞報告,5月31日,向所有用戶推出修復方案,并在6月4日證實補丁完全起作用。

為了確保用戶使用的是修復后的擴展版本,可在網址chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc查看是否安裝了7.11.1或更高版本。

Guardio 公司的首席技術官 Michael Vainshtein 表示,“我們發現的這個漏洞證明了仔細清潔瀏覽器擴展的重要性。人們需要意識到,即使是最可信的擴展也會包含攻擊者路徑。攻擊者需要的不過是一個不安全的擴展,就能攻陷你在網上所做的或存儲的所有一切。這種漣漪效果立即展現并有很強的的殺傷力。”

2017年,印象筆記不得不放棄對隱私策略的“改進”提案,因為改進后員工能夠讀取用戶的未加密筆記,而此舉招來用戶的強烈反對。今年4月中旬,印象筆記修復了一個路徑遍歷漏洞,它可導致攻擊者遠程運行目標 Mac 上本地存儲的應用或文件。

*參考來源:Bleepingcomputer,由代碼衛士編譯,轉載請注明來自FreeBuf.COM



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!



免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三