More

    Lỗi ứng dụng Evernote cho phép hacker đánh cắp file, thực thi lệnh tùy ý

    Lỗ hổng XSS nghiêm trọng bị phát hiện trong ứng dụng Evernote cho Windows có thể bị khai thác để đánh cắp các tệp tin và thực hiện các lệnh tùy ý.

    Một nhà nghiên cứu có nickname Sebao xác định lỗ hổng XSS tồn tại trong ứng dụng Evernote. Sebao cho biết khi thêm một bức ảnh vào ghi chú và sau đó đổi tên, thì thay vì tên, một mã JavaScript có thể được chèn vào. Nếu ghi chú được chia sẻ với người dùng

    Evernote khác, mã sẽ được thực thi khi người nhấp chuột vào hình ảnh.

    Evernote đã vá lỗ hổng an ninh này hồi tháng 9 trong phiên bản 6.16. Tuy nhiên, TongQing Zhu thuộc Knownsec 404 Team nhận thấy rằng mã tùy ý vẫn có thể được chèn vào tên của một bức ảnh đính kèm.

    Không giống như các trường hợp trước, mã sẽ tải một tệp Node.js từ một máy chủ từ xa. Kịch bản được thực thi thông qua NodeWebKit, một khoảng thời gian chạy ứng dụng được Evernote sử dụng trong chế độ trình chiếu.

    Để thực hiện tấn công, hacker cần thuyết phục người dùng mục tiêu mở một ghi chú Evernote trong chế độ trình chiếu. Khai thác thành công, hacker có thể đánh cắp các tập tin tùy ý và thực hiện các lệnh.

    TongQing Zhu đã cho thấy cách một hacker có thể khai thác lỗ hổng này để đọc một tệp Windows và thực thi ứng dụng Máy tính trên hệ thống mục tiêu.

    Evernote lần đầu tiên vá lỗi này, CVE-2018-18524, bằng việc phát hành Evernote cho Windows 6.16.1 beta vào giữa tháng 10. Bản vá đã được triển khai cho tất cả người dùng vào đầu tháng này khi phát hành Evernote 6.16.4.

    Nguồn Security Week​

    Bài Viết Mới

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Zalo PC giúp giáo viên dạy học hiệu quả trong mùa dịch Covid-19

    Tận dụng các tính năng của Zalo PC để hỗ trợ việc dạy và học, nhà trường có thể hạn chế sự...

    Related Stories

    Stay on op - Ge the daily news in your inbox