Các nhà nghiên cứu về an ninh mạng phát hiện ra một lỗ hổng nghiêm trọng trong tiện ích mở rộng phổ biến của Evernote Chrome có thể cho phép tin tặc chiếm quyền điều khiển trình duyệt của bạn và đánh cắp thông tin nhạy cảm từ bất kỳ trang web nào bạn truy cập.

Evernote là một dịch vụ phổ biến giúp mọi người ghi chú và sắp xếp danh sách công việc phải làm của họ. Theo thống kê có hơn 4.610.000 người dùng đã sử dụng Tiện ích mở rộng Evernote Web Clip cho trình duyệt Chrome.

Echobot Botnet lây lan, nhắm mục tiêu đến các ứng dụng của VMware và Oracle

lỗ hổng (CVE-2019-12592) được phát hiện bởi Guardio nằm trong cách thức tiện ích mở rộng Evernote Web Clip tương tác với các trang web, iframe và tiêm script, cuối cùng phá vỡ chính sách cùng nguồn gốc của trình duyệt (SOP) và cơ chế cách ly tên miền.

Theo các nhà nghiên cứu, lỗ hổng này có thể cho phép một trang web do kẻ tấn công thay mặt người dùng kiểm soát thực thi mã tùy ý trên trình duyệt, dẫn đến sự cố Universal Cross-site Scripting (UXSS hoặc Universal XSS).

Các nhà nghiên cứu cho biết: “Một khai thác đầy đủ sẽ cho phép tải tập lệnh do hacker kiểm soát từ xa vào ngữ cảnh của các trang web khác có thể đạt được thông qua một lệnh window.postMessage đơn giản” .
“Bằng cách lạm dụng cơ sở hạ tầng tiêm dự định của Evernote, tập lệnh độc hại sẽ được đưa vào tất cả các khung mục tiêu trong trang bất kể các ràng buộc về nguồn gốc chéo.”

Nhóm Guardio đã báo cáo vấn đề này với Evernote vào cuối tháng trước, và sau đó Evernote đã phát hành một phiên bản cập nhật, vá lỗi của tiện ích mở rộng Evernote Web Clip cho người dùng Chrome.

Vì Trình duyệt Chrome định kỳ, thường cứ sau 5 giờ, kiểm tra các phiên bản mới của tiện ích mở rộng đã cài đặt và cập nhật chúng mà không cần sự can thiệp của người dùng, bạn cần đảm bảo trình duyệt của bạn đang chạy phiên bản Evernote mới nhất 7.11.1 trở lên.

Tổng Hợp chuyên đề phân tích mã độc TẠI ĐÂY

Nguồn: THN