Chrome-расширение Evernote Web Clipper позволяет похитить данные юзера

Chrome-расширение Evernote Web Clipper позволяет похитить данные юзера

Исследователи в области безопасности обнаружили уязвимость в популярном расширении для браузера Chrome Evernote Web Clipper. В случае успешной эксплуатации эта проблема может слить злоумышленнику конфиденциальную информацию пользователя.

На данный момент в официальном магазине аудитория Evernote Web Clipper насчитывает 4 610 745 пользователей. Уязвимость отслеживается под идентификатором CVE-2019-12592, атакующий может использовать ее с помощью вредоносного сайта.

Если пользователь посетит такой ресурс, брешь в расширении позволит киберпреступнику выполнить произвольный код. Эксперты утверждают, что видели работу таких злонамеренных сайтов — на них были размещены специальные скрытые iframe.

Таким образом, злоумышленники просто помещали вредоносную нагрузку в контекст iframe, что позволяло похищать учетные данные, файлы cookies и другие важные данные.

Эксперты опубликовали видео, на котором демонстрируется PoC-сценарий:

Напомним, что расширение Evernote Web Clipper позволяет пользователям сохранять онлайн-контент в свою учетную запись Evernote. Среди такого контента могут быть веб-страницы, статьи, изображения, текст и электронные письма.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Граждан России хотят идентифицировать по имейлам

Граждан России хотят идентифицировать по электронной почте. Соответствующий законопроект внесли в Госдуму знакомые всем лица — Андрей Клишас и его заместители.

Согласно новой инициативе, основным идентификатором россиянина будет все же телефонный номер. Однако сервисы электронной почты должны будут заключить соглашение с операторами связи.

Свои замечательные законопроекты инициаторы в лице Клишаса и его помощников объясняют борьбой с ложными сообщениями о терактах. Авторы проекта подчеркивают, что с электронных ящиков анонимно рассылается некий процент ложных сообщений.

Но и это ещё не все. Согласно этому же документу, сервисы электронной почты должны будут контролировать рассылки по имейл запрещённой на территории России информации.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru