• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad en el plugin Evernote para Chrome

19/06/2019

=============================================
CVE-2019-12592
Fecha de lanzamiento: 16/06/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Se ha hecho pública la noticia de la existencia de un error en el plugin Evernote para el navegador Google Chrome que actualmente está siendo utilizada por más de 4,5 millones de usuarios.

INFORMACIÓN

Evernote, es un servicio que nos permite organizar nuestras notas o tareas a través de una aplicación existente en muchas plataformas, permitiéndonos tener sincronizadas estas notas en distintos dispositivos e incluso compartirlas con otros usuarios.

DESCRIPCIÓN

La vulnerabilidad ha sido encontrada por los investigadores de seguridad de Guardio, sólo afecta a la extensión ‘Evernote Web Clipper’, una extensión disponible para el navegador Google Chrome.

El error reside en la forma en la que la extensión interactúa con los sitios web, siendo posible romper los mecanismos de políticas del mismo origen (same-origin policy) y de dominio aislado (domain-isolation).

Según los investigadores, el error podría ser aprovechado para ejecutar código arbitrario a través de una página web especialmente manipulada e incluso podría ser utilizado para leer información sensible del usuario y no solo en el contexto del dominio de Evernote.

Junto al reporte, los investigadores de seguridad han publicado un vídeo en el que puede apreciarse una prueba de concepto funcional que aprovecha esta vulnerabilidad y que a través de un fichero javascript especialmente manipulado permite obtener información sensible del usuario, como puede ser información de sus redes sociales.

SISTEMAS AFECTADOS

Plugin Evernote para Chrome en versiónes anteriores a 7.11.1

SOLUCIÓN

Actualmente el error está solucionado en la versión 7.11.1 o superior y debería instalarse de forma automática por el propio Chrome.

FUENTE

https://hispasec.com/es/