پژوهشگران امنیت سایبری یک آسیبپذیری بحرانی در افزونهی محبوب Evernote کروم کشف کردهاند که به مهاجمان اجازه میدهد تا مرورگر کاربر را کنترل کنند و اطلاعات حساس را از هر وبگاهی که کاربر به آن دسترسی دارد، به سرقت ببرند. Evernote یک افزونهی محبوب است که به کاربران کمک میکند تا یادداشت تهیه کنند و فهرست کارهای خود را سازماندهی کنند، درحالحاضر بیش از ۴٬۶۱۰٬۰۰۰ کاربر از افزونهی Evernote Web Clipper برای مرورگر کروم استفاده میکنند. این آسیبپذیری (CVE-2019-12592) که توسط Guardio کشف شده است، در روشهایی که افزونهی Evernote Web Clipper با وبگاهها، آیفریمها و اسکریپتهای تزریق تعامل میکند، وجود دارد و در نهایت سیاست منبع یکسان (SOP) مرورگر و سازوکارهای جداسازی دامنه را نقض میکند.
بهگفتهی پژوهشگران، این آسیبپذیری به یک وبگاه تحت کنترل مهاجم اجازه میدهد تا کد دلخواه را در مرورگر و سایر دامنهها از طرف کاربر اجرا کند و موجب ایجاد مسألهی Universal Cross-site Scripting (UXSS) شود. پژوهشگران بیان کردند که یک بهرهبرداری کامل که امکان بارگذاری یک اسکریپت تحت کنترل مهاجم راه دور در داخل سایر وبگاهها را فراهم میکند، از طریق یک دستور واحد و سادهی window.postMessage قابل دستیابی است. با سوءاستفاده از زیرساخت تزریق Evernote، بدون توجه به محدودیتهای cross-origion، اسکریپت مخرب در همهی فریمهای هدف موجود در صفحه تزریق خواهد شد.
پژوهشگران همچنین یک بهرهبرداری اثبات مفهومی توسعه دادهاند که میتواند یک بار دادهی سفارشی را در وبگاههای هدف تزریق کند و کوکیها، گواهینامهها و سایر اطلاعات خصوصی کاربر را به سرقت ببرد. از آنجا که افزونهها در مرورگر وب کاربر اجرا میشوند، اغلب به توانایی ایجاد درخواستهای شبکه، دسترسی و تغییر محتوای صفحات وبی که کاربر بازدید میکند، نیاز دارند و همین مسأله عامل تهدیدی برای حریم خصوصی و امنیت کاربر است، اما درصورتیکه از فروشگاه رسمی فایرفاکس یا کروم نصب شوند مشکلی برای کاربر مشکلی پیش نمیآید. پژوهشگران هشدار دادند بااینکه نویسندگان برنامه قصد دارند تا تجربهی کاربری بهتری ارائه دهند، افزونهها معمولا مجوزهایی برای دسترسی به منابع حساس دارند و خطر امنیتی بیشتری نسبت به وبگاههای سنتی دارند. Guardio این مسأله را در اواخر ماه گذشته به Evernote گزارش داده است و پس از آن نسخهی بهروزرسانیشده و وصلهشدهی افزونهی Evernote Web Clipper برای کاربران منتشر شده است. از آنجا که مرورگر کروم بهصورت دورهای پس از ۵ ساعت نسخههای جدید افزونههای نصبشده و بهروزرسانیشده را بررسی میکند و آنها را بدون نیاز به مداخلهی کاربر بهروزرسانی میکند، کاربر باید مطمئن شود که مرورگر آخرین نسخهی Evernote یعنی نسخهی ۷٫۱۱٫۱ یا نسخههای بعدی را اجرا میکند.