Разработчики Evernote устранили в приложении для Windows уязвимость CVE-2018-18524, сначала выпустив версию 6.16.1 beta, а затем представив релиз Evernote 6.16.4. Баг был обнаружен специалистами компании Knownsec и представлял опасность для версий младше 6.15.
Исследователи публично рассказали о проблеме в своем блоге. По сути, уязвимость позволяла удаленному атакующему запускать на машине жертвы произвольные программы и выполнять команды, причем для этого нужно было лишь поделиться с пользователем заметкой, вынудив ее просмотреть. Баг представлял собой так называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость.
Аналитики Knownsec рассказывают, что исправление проблемы осуществлялось в два этапа. Дело в том, что изначально опасный XSS-баг нашел ИБ-специалист, известный под ником Sebao. Он обнаружил, что если добавить в заметку Evernote изображение, а затем переименовать его, в имя можно встроить код 100vw, 400px" />
Скачать:
Скриншоты:
Важно:
Все статьи и материал на сайте размещаются из свободных источников. Приносим свои глубочайшие извинения, если Ваша статья или материал была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.
