Breaking News

นักวิจัยสาธิตช่องโหว่บน Extension ของ Evernote ช่วยขโมยข้อมูลได้

Guardio ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ Browser ได้สาธิต คลิปวีดีโอวิธีการใช้งานช่องโหว่ XSS ที่เกิดกับ Extension ของ Evernote ที่ทำให้สามารถ Bypass Same-origin policy (SOP) เพื่อเข้าไปขโมยข้อมูลของผู้ใช้งานได้ เช่น Facebook และ PayPal เป้นต้น

Extension ที่เกิดปัญหาคือ Evernote Web Clipper for Chrome ซึ่งช่วยอำนวยความสะดวกให้ผู้ใช้งานสามารถเซฟหน้าเว็บ บทความ รูปภาพ ข้อความ และ อีเมลมายัง Evernote ได้ ประเด็นก็คือนักวิจัยได้พบช่องโหว่ Cross-site-script (XSS) ซึ่งทำให้สามารถ Bypass กระบวนการป้องกันหรือ SOP ของบราวน์เซอร์เพื่อเข้าไปอ่านข้อมูลได้

เหตุการณ์จะเกิดขึ้นเมื่อเหยื่อเข้าชมเว็บไซต์อันตรายที่มีการโหลด Hidden iframe ซึ่งเป็นโอกาสให้เกิดการใช้งานช่องโหว่เพื่อ inject ตัว payload อันตรายจากคนร้ายเข้ามาทุก iframe จากนั้นจะสามารถลอบขโมย Cookies, Credential และข้อมูลอื่นๆ ได้ โดยทางนักวิจัยได้โพสต์วีดีโอสาธิตถึงการขโมยข้อมูลของ Facebook และ PayPal Transaction ไว้ด้านบนครับ

สำหรับช่องโหว่มีหมายเลขอ้างอิง CVE-2019-12592 ซึ่งถูกแพตช์แล้วในเวอร์ชัน 7.11.1 ทั้งนี้ Extension ดังกล่าวมีผู้ใช้งานกว่า 4.6 ล้านคน ดังนั้นหากใครใช้อยู่ก็อย่าลืมอัปเดตกันได้ครับ

ที่มา :  https://www.securityweek.com/flaw-evernote-extension-allows-hackers-steal-data


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …

สรุปงานสัมมนา Age of Data Privacy, Trust & Security โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Bay Cybersecurity Day 2019 ภายใต้ธีม Age of Data Privacy, Trust & …