Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов
Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и частично, и еще может добавлять комментарии поверх исходного содержимого.
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Postman логирует все ваши секреты и переменные окружения
- Math Agency: Google AI Mode: новая модель поиска, которая меняет всё
- Атака клонов или темная сторона Open Source
- А вам точно нужно делать и продвигать приложение? Два главных вопроса бизнесу перед разработкой
- Гайд по криптостойкости, как защитить наши данные
- [Перевод] Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen
- [Перевод] ПОСТРОЕНИЕ ДОВЕРИЯ К ИИ: как блокчейн повышает целостность, безопасность и конфиденциальность данных
- Конкурс — дело тонкое: механики, которые работают у застройщиков (и не вызывают кринж у аудитории)
- Кризис идей: что делать, если не растут продажи на маркетплейсе
- От ручного труда к автоматизированным системам: польза для кредитных организаций