Уязвимость в Evernote для macOS позволяет выполнить произвольный код

Уязвимость в Evernote для macOS позволяет выполнить произвольный код

Популярное приложение для создания заметок Evernote версии 7.9 для операционной системы macOS затрагивает проблема безопасности, известная как path traversal. Эта уязвимость позволяет атакующему запускать произвольные программы.

В итоге злоумышленники могут использовать специально созданный URI в заметке, что приведет к атаке, в которой file:/// используется как аргумент, также атакующие могут переместиться к любой директории (например, ../../../../something.app).

Поскольку Evernote оснащена возможностями, позволяющими делиться заметками, злоумышленники могут воспользоваться этой уязвимостью и разослать вредоносные заметки (формата .enex) предполагаемым жертвам.

В настоящее время проблема отслеживается под идентификатором CVE-2019-10038, а патч был выпущен с версией Evernote 7.10 Beta 1 и 7.9.1 GA для macOS.

Сообщившие о проблеме безопасности эксперты в области кибербезопасности опубликовали видео, в котором демонстрируется эксплуатация уязвимости path traversal.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Более 30% специалистов по кибербезопасности сталкивались с харассментом

Около трети специалистов в области кибербезопасности ощутили на себе так называемый харассмент — приставание в грубой форме, нарушающее личные границы человека. Столкнуться с этим явлением можно как в Сети, так и в реальной жизни.

Инициатива, получившая название Respect In Security, поставила себе цель — бороться с любыми формами харассмента в среде экспертов по кибербезопасности. Представители проекта призывают организации создать для сотрудников рабочие места, свободные от домогательств, приставаний и страха.

Новое исследование аналитиков Sapio Research выявило немалый процент ИБ-сотрудников, столкнувшихся с приставаниями. Как выяснили исследователи, 32% из 302 опрошенных экспертов испытывали на себе харассмент посредством LinkedIn, Twitter и других соцсетей. 35% при этом ощущали то же самое, но уже в реальной жизни.

«Специалисты ИБ-сферы проводят много времени онлайн — пожалуй, гораздо больше, чем другие отрасли. Поэтому я считаю, что мы наиболее подвержены негативным проявлениям Сети», — объясняет один из основателей Respect In Security Лиза Форте.

В интервью Форте заявила, что в своё время получала неприличные видеоролики, а также встречала фейковые аккаунты, использовавшие её имя. Более того, по словам Форте, ей угрожали через сообщения в социальных сетях.

Также в исследовании Respect In Security отмечается, что с неприемлемым поведением сталкивались не только женщины, но и мужчины, а также люди с нетрадиционной ориентацией.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru