นักวิจัยสาธิตช่องโหว่บน Extension ของ Evernote ช่วยขโมยข้อมูลได้

Guardio ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ Browser ได้สาธิต คลิปวีดีโอวิธีการใช้งานช่องโหว่ XSS ที่เกิดกับ Extension ของ Evernote ที่ทำให้สามารถ Bypass Same-origin policy (SOP) เพื่อเข้าไปขโมยข้อมูลของผู้ใช้งานได้ เช่น Facebook และ PayPal เป้นต้น

Extension ที่เกิดปัญหาคือ Evernote Web Clipper for Chrome ซึ่งช่วยอำนวยความสะดวกให้ผู้ใช้งานสามารถเซฟหน้าเว็บ บทความ รูปภาพ ข้อความ และ อีเมลมายัง Evernote ได้ ประเด็นก็คือนักวิจัยได้พบช่องโหว่ Cross-site-script (XSS) ซึ่งทำให้สามารถ Bypass กระบวนการป้องกันหรือ SOP ของบราวน์เซอร์เพื่อเข้าไปอ่านข้อมูลได้

เหตุการณ์จะเกิดขึ้นเมื่อเหยื่อเข้าชมเว็บไซต์อันตรายที่มีการโหลด Hidden iframe ซึ่งเป็นโอกาสให้เกิดการใช้งานช่องโหว่เพื่อ inject ตัว payload อันตรายจากคนร้ายเข้ามาทุก iframe จากนั้นจะสามารถลอบขโมย Cookies, Credential และข้อมูลอื่นๆ ได้ โดยทางนักวิจัยได้โพสต์วีดีโอสาธิตถึงการขโมยข้อมูลของ Facebook และ PayPal Transaction ไว้ด้านบนครับ

สำหรับช่องโหว่มีหมายเลขอ้างอิง CVE-2019-12592 ซึ่งถูกแพตช์แล้วในเวอร์ชัน 7.11.1 ทั้งนี้ Extension ดังกล่าวมีผู้ใช้งานกว่า 4.6 ล้านคน ดังนั้นหากใครใช้อยู่ก็อย่าลืมอัปเดตกันได้ครับ

ที่มา :  https://www.securityweek.com/flaw-evernote-extension-allows-hackers-steal-data


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar : Defense in Depth – Ransomware Ready with Commvault

VSTECS ร่วมกับ Computer Union และ Commvault ขอเชิญผู้สนใจในสายงาน IT ทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Defense in Depth - Ransomware Ready with Commvault" โดยท่านจะได้เรียนรู้เกี่ยวกับโซลูชันการป้องกันข้อมูลจากแรนซัมแวร์เพื่อทำให้ระบบขององค์กรเป็นไปตามแนวทาง Defense in Depth งานจะจัดขึ้นในวันจันทร์ที่ 6 มิถุนายน 2565 เวลา 14.00 - 15.30 น. มีกำหนดการลงทะเบียนดังนี้

พบช่องโหว่ร้ายแรงกระทบ vRealize, VCF, WorkspaceONE ทีมงาน CISA ประกาศหน่วยงานภายใต้การดูแลให้แพตช์ใน 5 วัน

VMware ได้มีการออกแพตช์ช่องโหว่ร้ายแรงใหม่ 2 รายการซึ่งทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนและยกระดับสิทธิ์ โดยส่งผลกระทบในหลายผลิตภัณฑ์ ไม่นานนัก CISA ได้ประกาศให้หน่วยงานภายใต้กำกับดูแลของตนให้เร่งแพตช์ช่องโหว่ใน 5 วัน หากทำไม่ได้ให้ตัดระบบเหล่านั้นออกจากเครือข่ายจนกว่าจะแล้วเสร็จ