В приложении Evernote устранили уязвимость, позволяющую похищать файлы

Опубликовано: Четверг, 08 ноября 2018 14:58

Разработчикам сервиса для создания заметок Evernote указали на устранение уязвимости в приложении для Windows, посредством которого выполнялись произвольные действия и команды, а также была возможность похищать файлы

Об этом сообщает издание "Хакер".

Уязвимость CVE-2018-18524 предполагала, что в том случае, когда пользователь открывал и просматривал определенную заметку или картику в приложении, вирус позволял атакующему запускать определенные программы и выполнять произвольные действия, а также похищать необходимые файлы

Проблему обнаружили специалисты компании Knownsec, отметив, что уязвимыми были приложения Evernote с версией младше 6.15.

Вирус представлял собой так называемую stored XSS, то есть постоянный тип XSS-уязвимости.

Для того чтобы устранить уязвимость, аналитики из Knownsec провели работу в два этапа. Во-первых, было обнаружено, что если добавить в заметку Evernote изображение, а после этого переименовать его, то в новое имя можно встроить код JavaScript. Во-вторых, было создано механизм распознавания подобных вирусных заметок.


Когда пользователи открывали подобные картинки для просмотра, то давали возможность для работы вируса.

  • Компания Google назвала приложения для Android, которые победили в номинации Material Design Awards 2018. Компания оценивала приложения по четырем различным критериям - выразительность, пользовательский опыт, инновации и адаптация. Лидерами оказались приложения KptnCook, Lyft, Simple Habit Meditation и Anchor.