Today: December 9, 2019 3:46 am
Your menu is empty or not selected! How to config a menu
Your menu is empty or not selected! How to config a menu

Critical flaw yang Dilaporkan dalam Ekstensi Evernote Populer untuk Pengguna Chrome

Peneliti cybersecurity menemukan cacat kritis pada ekstensi Evernote Chrome yang populer yang dapat memungkinkan peretas membajak peramban Anda dan mencuri informasi sensitif dari situs web apa pun yang Anda akses.

Evernote adalah layanan populer yang membantu orang membuat catatan dan mengatur daftar tugas yang harus dilakukan, dan lebih dari 4.610.000 pengguna telah menggunakan Evernote Web Clipper Extension untuk browser Chrome.

Ditemukan oleh Guardio, kerentanan ( CVE-2019-12592 ) berada dalam cara ekstensi Evernote Web Clipper berinteraksi dengan situs web, iframe dan menyuntikkan skrip, yang pada akhirnya melanggar kebijakan sama-asal-asal (SOP) browser dan mekanisme isolasi domain.

Menurut peneliti, kerentanan dapat memungkinkan situs web yang dikendalikan penyerang untuk mengeksekusi kode arbitrer pada browser dalam konteks domain lain atas nama pengguna, yang mengarah ke masalah Universal Cross-site Scripting (UXSS atau Universal XSS).

“Sebuah eksploitasi penuh yang akan memungkinkan memuat skrip yang dikendalikan hacker jarak jauh ke dalam konteks situs web lain dapat dicapai melalui satu perintah window.postMessage,” 

kata parapeneliti .
“Dengan menyalahgunakan infrastruktur injeksi yang dimaksudkan Evernote, skrip jahat akan disuntikkan ke semua frame target di halaman terlepas dari kendala lintas-asal.”

Seperti ditunjukkan dalam demonstrasi video, para peneliti juga mengembangkan eksploitasi Proof-of-Concept (PoC) yang dapat menyuntikkan muatan kustom pada situs web yang ditargetkan, dan mencuri cookie, kredensial, dan informasi pribadi lainnya dari pengguna yang tidak curiga.

Tidak diragukan lagi ekstensi menambahkan banyak fitur berguna ke browser web Anda, tetapi pada saat yang sama, gagasan mempercayai kode pihak ketiga jauh lebih berbahaya daripada yang disadari kebanyakan orang.

Karena ekstensi berjalan di peramban web Anda, ekstensi itu seringkali memerlukan kemampuan untuk membuat permintaan jaringan, mengakses, dan mengubah konten halaman web yang Anda kunjungi, yang menimbulkan ancaman besar terhadap privasi dan keamanan Anda, tidak masalah jika Anda telah menginstalnya dari Firefox resmi atau toko Chrome.

“Sementara penulis aplikasi bermaksud untuk memberikan pengalaman pengguna yang lebih baik, ekstensi biasanya memiliki izin untuk mengakses segudang sumber daya sensitif dan menimbulkan risiko keamanan yang jauh lebih besar daripada situs web tradisional,” para peneliti memperingatkan.
Tim Guardio secara bertanggung jawab melaporkan masalah ini kepada Evernote akhir bulan lalu, yang kemudian merilis versi tambalan Evernote Web Clipper yang diperbarui untuk pengguna Chrome.

Karena Chrome Browser secara berkala, biasanya setelah setiap 5 jam, memeriksa versi baru ekstensi yang diinstal dan memperbaruinya tanpa memerlukan intervensi pengguna, Anda perlu memastikan browser Anda menjalankan Evernote versi terbaru 7.11.1 atau lebih baru.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *