攻擊者可利用印象筆記中的XSS漏洞執行命令並竊取檔案
安全專家在印象筆記(Evernote)應用程式Windows 客戶端發現一個儲存型XSS漏洞,該漏洞可被用於竊取檔案、執行任意命令。
以暱稱“@sebao”在網上活動的安全專家在印象筆記應用程式Windows 客戶端中 發現儲存型跨站點指令碼(XSS)漏洞 , 攻擊者可利用該漏洞竊取檔案以及執行任意命令 。
Sebao注意到,使用者在筆記中新增照片後,可以使用JavaScript程式碼對檔案重新命名,而不是普通名稱。 該專家發現,當該筆記被分享至另一個印象筆記使用者時,接收者點選圖片便可執行該程式碼 。
印象筆記於九月釋出版本6.16.,對該儲存型XSS漏洞進行了修復,但並未完全修復該漏洞。
知道創宇404實驗室(Knownsec 404 Team)專家朱銅慶發現, 上述方法經變通後仍能執行任意程式碼 。
朱銅慶發現,該取代“名稱”命名的“程式碼”可從遠端伺服器下載Node.js檔案,該指令碼可通過印象筆記在演示模式下使用的NodeWebKit執行。
朱銅慶解釋道,“我發現,NodeWebKit存在於印象筆記的‘C:\\Program Files(x86)\Evernote\Evernote\NodeWebKit’檔案中,且在演示模式下可用。另一個好訊息是, 我們可在演示模式下利用儲存型XSS執行Nodejs程式碼 。”
攻擊者只需誘導印象筆記在演示模式下開啟一個筆記,便可竊取任意檔案並執行命令。
朱銅慶演示了黑客如何利用該漏洞在目標系統中讀取Windows檔案,以及執行Calculator應用程式。
印象筆記於10月釋出了Windows 6.16.1測試版,首次修復了該編號為“CVE-2018-18524”的漏洞。而印象筆記於本月初發布的Evernote 6.16.4中,釋出了該漏洞的終極補丁。
E安全注:本文系E安全獨家編譯報道,轉載請聯絡授權,並保留出處與連結,不得刪減內容。聯絡方式:① 微信號j871798128②郵箱[email protected]
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口網站戶網站戶網站www.easyaq.com , 查 , 查 , 檢視更多精彩內容。