گزارش یک آسیب‌پذیری بحرانی در افزونه‌ی محبوب Evernote برای کاربران کروم

پژوهش‌گران امنیت سایبری یک آسیب‌پذیری بحرانی در افزونه‌ی محبوب Evernote کروم کشف کرده‌اند که به مهاجمان اجازه می‌دهد تا مرورگر کاربر را کنترل کنند و اطلاعات حساس را از هر وب‌گاهی که کاربر به آن دسترسی دارد، به سرقت ببرند. Evernote یک افزونه‌ی محبوب است که به کاربران کمک می‌کند تا یادداشت تهیه کنند و فهرست کارهای خود را سازمان‌دهی کنند، درحال‌حاضر بیش از ۴٬۶۱۰٬۰۰۰ کاربر از افزونه‌ی Evernote Web Clipper برای مرورگر کروم استفاده می‌کنند. این آسیب‌پذیری (CVE-2019-12592) که توسط Guardio کشف شده است،  در روش‌هایی که افزونه‌ی Evernote Web Clipper با وب‌گاه‌ها، آی‌فریم‌ها و اسکریپت‌های تزریق تعامل می‌کند، وجود دارد و در نهایت سیاست منبع یکسان (SOP) مرورگر و سازوکارهای جداسازی دامنه را نقض می‌کند.

به‌گفته‌ی پژوهش‌گران، این آسیب‌پذیری به یک وب‌گاه تحت کنترل مهاجم اجازه می‌دهد تا کد دلخواه را در مرورگر و سایر دامنه‌ها از طرف کاربر اجرا کند و موجب ایجاد مسأله‌ی Universal Cross-site Scripting (UXSS) شود. پژوهش‌گران بیان کردند که یک بهره‌برداری کامل که امکان بارگذاری یک اسکریپت تحت کنترل مهاجم راه دور در داخل سایر وب‌گاه‌ها را فراهم می‌کند، از طریق یک دستور واحد و ساده‌ی window.postMessage قابل دست‌یابی است. با سوء‌استفاده از زیرساخت تزریق Evernote، بدون توجه به محدودیت‌های cross-origion، اسکریپت مخرب در همه‌ی فریم‌های هدف موجود در صفحه تزریق خواهد شد.

پژوهش‌گران همچنین یک بهره‌برداری اثبات مفهومی توسعه داده‌اند که می‌تواند یک بار داده‌ی سفارشی را در وب‌گاه‌های هدف تزریق کند و کوکی‌ها، گواهی‌نامه‌ها و سایر اطلاعات خصوصی کاربر را به سرقت ببرد. از آن‌جا که افزونه‌ها در مرورگر وب کاربر اجرا می‌شوند، اغلب به توانایی ایجاد درخواست‌های شبکه، دسترسی و تغییر محتوای صفحات وبی که کاربر بازدید می‌کند، نیاز دارند و همین مسأله عامل تهدیدی برای حریم خصوصی و امنیت کاربر است، اما درصورتی‌که از فروشگاه رسمی فایرفاکس یا کروم نصب شوند مشکلی برای کاربر مشکلی پیش نمی‌آید. پژوهش‌گران هشدار دادند بااین‌که نویسندگان برنامه قصد دارند تا تجربه‌ی کاربری بهتری ارائه دهند، افزونه‌ها معمولا مجوزهایی برای دسترسی به منابع حساس دارند و خطر امنیتی بیشتری نسبت به وب‌گاه‌های سنتی دارند.  Guardio این مسأله را در اواخر ماه گذشته به Evernote گزارش داده است و پس از آن نسخه‌ی به‌روزرسانی‌شده و وصله‌شده‌ی افزونه‌ی Evernote Web Clipper برای کاربران منتشر شده است. از آن‌جا که مرورگر کروم به‌صورت دوره‌ای پس از ۵ ساعت نسخه‌های جدید افزونه‌های نصب‌شده و به‌روزرسانی‌شده را بررسی می‌کند و آن‌ها را بدون نیاز به مداخله‌ی کاربر به‌روزرسانی می‌کند، کاربر باید مطمئن شود که مرورگر آخرین نسخه‌ی Evernote یعنی نسخه‌ی ۷٫۱۱٫۱ یا نسخه‌های بعدی را اجرا می‌کند.

منبع

پست‌های مشابه

Leave a Comment