印象笔记 Web Clipper Chrome 扩充套件中被曝存在一个严重缺陷,可导致潜在攻击者访问使用者储存在第三方网络服务中的敏感资讯。
发现该漏洞的安全公司 Guardio 表示,“由于印象笔记广为流行,该问题可能影响使用该扩充套件的客户和企业,在发现之时它的使用者量为460万左右。”
全域性跨站点指令码缺陷
该问题是一个全域性跨站点指令码 (UXSS) 漏洞,编号为 CVE-2019-12592,源自一个印象笔记 Web Clipper 逻辑程式设计错误,使其可能“绕过浏览器的同源策略,导致攻击者能够在印象笔记域名以外的内联框架中获得程式码执行许可权。”
一旦 Chrome 的站点隔离安全功能崩溃,其它网站账户的使用者资料就无法受到保护,从而导致恶意人员能够访问第三方网站上的敏感的使用者资讯,“包括社交媒体、个人邮件等中的认证、金融、私密会话。”
目标被重定向至受黑客控制的且载入目标第三方网站内联框架的网站,并触发旨在强迫印象笔记将恶意 payload 注入所有载入内联框架的利用,而该 payload 将“窃取cookies、凭证、私人资讯并以使用者身份执行动作等。”
Guardio 为CVE-2019-12592 设计出起作用的 PoC,展示了如何通过易受攻击的印象笔记 Web Clipper Chrome 扩充套件版本获取对社交媒体和金融资讯、购物资讯、私密资讯、认证资料和邮件的访问许可权。
演示视讯
https://v.qq.com/x/page/k08837jc0si.html
漏洞已修复
5月27日收到漏洞报告,5月31日,向所有使用者推出修复方案,并在6月4日证实补丁完全起作用。
为了确保使用者使用的是修复后的扩充套件版本,可在网址chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc检视是否安装了7.11.1或更高版本。
Guardio 公司的首席技术官 Michael Vainshtein 表示,“我们发现的这个漏洞证明了仔细清洁浏览器扩充套件的重要性。人们需要意识到,即使是最可信的扩充套件也会包含攻击者路径。攻击者需要的不过是一个不安全的扩充套件,就能攻陷你在网上所做的或储存的所有一切。这种涟漪效果立即展现并有很强的的杀伤力。”
2017年,印象笔记不得不放弃对隐私策略的“改进”提案,因为改进后员工能够读取使用者的未加密笔记,而此举招来使用者的强烈反对。今年4月中旬,印象笔记修复了一个路径遍历漏洞,它可导致攻击者远端执行目标 Mac 上本地储存的应用或档案。
*参考来源:Bleepingcomputer,由程式码卫士编译,转载自FreeBuf.COM
