Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов
Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и частично, и еще может добавлять комментарии поверх исходного содержимого.
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
- OSINT на боевом рубеже: новый фронт военной разведки
- Блеск и ад p2p-торговли на Bybit
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
- Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
- Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
- Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)
- uniSiter: Wildberries доставляет еду, Яндекс запускает биржу тг-каналов, Самокат тестирует доставку дронами