Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов
Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и частично, и еще может добавлять комментарии поверх исходного содержимого.
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Эта довольно широкая функциональность привела к необходимости встраивания кода на все страницы, посещаемые пользователем, если у него установлено расширение Evernote. Изначально небольшой скрипт обеспечивает подгрузку дополнительного кода, если пользователь решит сохранить страницу. Как выяснилось, эта самая загрузка кода толком не проверялась, что теоретически позволяло атакующему получать приватные данные пользователя с других ресурсов; достаточно было открыть подготовленную страницу. К счастью, угроза так и осталась теоретической: проблему закрыли, свидетельств ее использования для реальных атак не обнаружено.
Читать дальше →
Источник: Хабрахабр
