آسیبپذیری بحرانی موجود در افزونه محبوب Evernote از مرورگر کروم
محققان امنیت سایبری از کشف یک نقص حیاتی در افزونه محبوب Evernote مرورگر گوگل کروم خبر دادند که به مهاجمان اجازه هایجک مرورگر و سرقت اطلاعات حساس از هر وبسایتی که به آن دسترسی دارید را میدهد. Evernote یک سرویس محبوب است که به مردم کمک میکند که یادداشتها و لیست کارهای خود را سازماندهی کنند و بیش از 4.5 میلیون کاربر، از افزونه Evernote Clipper Web موجود در این سرویس برای مرورگر کروم خود استفاده میکنند. این آسیبپذیری توسط Guardio کشف شده و دارای شناسه CVE-2019-12592 میباشد و مربوط به نحوه تعامل این افزونه با وبسایتها، iframeها و اسکریپتهای تزریقی میباشد و در نهایت سیاستهای امنیتی مرورگر و مکانیزمهای انزوای دامنه آن را از بین میبرد. به گفته محققان، این آسیبپذیری میتواند به وبسایت تحت کنترل مهاجم، اجازه اجرای کد دلخواه در مرورگر و در محتوای دامنههای دیگر، از طرف کاربران را بدهد و منجر به آسیبپذیری UXSS یا Universal XSS شود. محققان همچنین PoC مربوط به این آسیبپذیری را هم منتشر کردهاند که میتواند پیلود مخرب را در وبسایتهای هدف تزریق کند و کوکیها، اعتبارنامهها و سایر اطلاعات خصوصی کاربران را سرقت کند. بدون شک افزونهها ویژگیهای بسیار مفیدی را به مرورگرهای وب اضافه میکنند، اما در عین حال ایده اعتماد کردن به یک کدنویسی شخص ثالث خیلی خطرناکتر از آن است که افراد فکر میکنند.
مرکز ماهر
دانشگاه کردستان