Fallo crítico en Evernote

Una fallo crítico en Evernote, a través de la extensión Evernote Web Clipper en el navegador Chrome, podría haber permitido a un atacante robar datos personales, incluidos correos electrónicos y transacciones financieras de los usuarios.

Evernote Web Clipper es una extensión tremendamente popular usada por más de 4,6 millones de usuarios de Evernote, seguramente la aplicación de toma de notas más importante de la industria. Descubierto por Guardio, el fallo crítico en Evernote (CVE-2019-12592) residía en las formas en que la extensión Web Clipper interactúa con sitios web, iframes y scripts de inyección, y finalmente rompe la política del mismo origen del navegador (SOP) y los mecanismos de aislamiento del dominio.

Según los investigadores, la vulnerabilidad podría permitir que un sitio web controlado por un atacante ejecute código arbitrario en el navegador en el contexto de otros dominios en nombre de los usuarios, lo que lleva a un problema de secuencias de comandos entre sitios universales (UXSS o Universal XSS). «Tras una explotación exitosa, una visita a un sitio web controlado por los ciberdelincuentes, comprometería los datos privados del visitante de los sitios web de terceros afectados», indican.

Los investigadores han publicado una prueba de concepto de la explotación de la vulnerabilidad. Como en muchos otros casos, exige previamente persuadir a un usuario para que vaya al sitio web malicioso preparado por el atacante, seguramente utilizando técnicas de phishing o spam desde un correo electrónico o un enlace de redes sociales. Ese sitio web malicioso luego carga silenciosamente etiquetas de iframe legítimas de sitios web específicos.

Evernote (como muchos grandes servicios) se ha enfrentado a incidentes de seguridad a lo largo de los años. En 2013, atacantes desconocidos comprometieron la información de los usuarios, como las direcciones de correo electrónico y las contraseñas de acceso. Y en 2014, Evernote fue víctima de un ataque distribuido de denegación de servicio (DDoS) que cerró el servicio durante horas. Otra cuestión a analizar es el problema de las extensiones. Agregan muchas funciones útiles a un navegador web, pero al mismo tiempo, la idea de confiar en el código de terceros es mucho más peligrosa de lo que la mayoría de las personas cree.

Los investigadores revelaron internamente el fallo crítico en Evernote el 27 de mayo y la compañía publicó una solución el 4 de junio. Se insta a los usuarios de Evernote a que actualicen a la versión 7.11.1 o posterior.

LEAVE A REPLY

Please enter your comment!
Please enter your name here