Уязвимость в Evernote для macOS позволяет выполнить произвольный код

Уязвимость в Evernote для macOS позволяет выполнить произвольный код

Уязвимость в Evernote для macOS позволяет выполнить произвольный код

Популярное приложение для создания заметок Evernote версии 7.9 для операционной системы macOS затрагивает проблема безопасности, известная как path traversal. Эта уязвимость позволяет атакующему запускать произвольные программы.

В итоге злоумышленники могут использовать специально созданный URI в заметке, что приведет к атаке, в которой file:/// используется как аргумент, также атакующие могут переместиться к любой директории (например, ../../../../something.app).

Поскольку Evernote оснащена возможностями, позволяющими делиться заметками, злоумышленники могут воспользоваться этой уязвимостью и разослать вредоносные заметки (формата .enex) предполагаемым жертвам.

В настоящее время проблема отслеживается под идентификатором CVE-2019-10038, а патч был выпущен с версией Evernote 7.10 Beta 1 и 7.9.1 GA для macOS.

Сообщившие о проблеме безопасности эксперты в области кибербезопасности опубликовали видео, в котором демонстрируется эксплуатация уязвимости path traversal.

Спецоперация с посылкой: мошенники начали превращать жертв в курьеров

МВД России предупредило о новой мошеннической схеме, в которой человека могут не просто развести на деньги, но и втянуть в преступление. Аферисты представляются сотрудниками Центробанка, спецслужб, правоохранительных органов или финансовых организаций и просят «помочь» с якобы важной операцией: забрать посылку, перевезти деньги или задекларировать чужие средства.

В Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД предупреждают: если специалист Центрального банка просит забрать посылку и задекларировать чужие деньги — это мошенники.

И самое неприятное: человек, который согласится, рискует стать не помощником, а соучастником преступления. Схема строится на старой, но всё ещё рабочей легенде: жертве внушают, что она участвует в тайной проверке, расследовании или спецмероприятии.

Для убедительности аферисты прикрываются громкими названиями ведомств и должностей, давят срочностью и требуют никому ничего не рассказывать. В итоге владелец смартфона превращается в курьера, который своими руками помогает преступникам.

В МВД подчёркивают: государственные организации не нанимают случайных граждан для внештатной работы по телефону и не просят участвовать в секретных операциях. Центробанк, полиция и спецслужбы не отправляют людей за чужими деньгами, не поручают перевозить посылки и не просят декларировать средства неизвестного происхождения.

Так что если на том конце провода внезапно появился сотрудник ЦБ с просьбой помочь стране, банку или следствию, лучший вклад в безопасность уже понятен: положить трубку и не играть в курьера для мошенников.

RSS: Новости на портале Anti-Malware.ru