Разработчикам сервиса для создания заметок Evernote указали на устранение уязвимости в приложении для Windows, посредством которого выполнялись произвольные действия и команды, а также была возможность похищать файлы
Об этом сообщает издание “Хакер”.
Уязвимость CVE-2018-18524 предполагала, что в том случае, когда пользователь открывал и просматривал определенную заметку или картику в приложении, вирус позволял атакующему запускать определенные программы и выполнять произвольные действия, а также похищать необходимые файлы
Проблему обнаружили специалисты компании Knownsec, отметив, что уязвимыми были приложения Evernote с версией младше 6.15.
Вирус представлял собой так называемую stored XSS, то есть постоянный тип XSS-уязвимости.
Для того чтобы устранить уязвимость, аналитики из Knownsec провели работу в два этапа. Во-первых, было обнаружено, что если добавить в заметку Evernote изображение, а после этого переименовать его, то в новое имя можно встроить код JavaScript. Во-вторых, было создано механизм распознавания подобных вирусных заметок.
Когда пользователи открывали подобные картинки для просмотра, то давали возможность для работы вируса.
Компания Google назвала приложения для Android, которые победили в номинации Material Design Awards 2018. Компания оценивала приложения по четырем различным критериям – выразительность, пользовательский опыт, инновации и адаптация. Лидерами оказались приложения KptnCook, Lyft, Simple Habit Meditation и Anchor.
