「澳门威尼斯人去金沙」攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

发布时间:2020-01-09 12:02:10 人气:4954

「澳门威尼斯人去金沙」攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

澳门威尼斯人去金沙,更多全球网络安全资讯尽在e安全官网www.easyaq.com

小编来报:安全专家在印象笔记(evernote)应用程序windows 客户端发现一个存储型xss漏洞,该漏洞可被用于窃取文件、执行任意命令。

据报道,以昵称“@sebao”在网上活动的安全专家在印象笔记应用程序windows 客户端中发现存储型跨站点脚本(xss)漏洞,攻击者可利用该漏洞窃取文件以及执行任意命令。

sebao注意到,用户在笔记中添加照片后,可以使用javascript代码对文件重命名,而不是普通名称。。

印象笔记于九月发布版本6.16.,对该存储型xss漏洞进行了修复,但并未完全修复该漏洞。

知道创宇404实验室(knownsec 404 team)专家朱铜庆发现,上述方法经变通后仍能执行任意代码。

朱铜庆发现,该取代“名称”命名的“代码”可从远程服务器下载node.js文件,该脚本可通过印象笔记在演示模式下使用的nodewebkit执行。

朱铜庆解释道,“我发现,nodewebkit存在于印象笔记的‘c:\\program files(x86)\evernote\evernote\nodewebkit’文件中,且在演示模式下可用。另一个好消息是,我们可在演示模式下利用存储型xss执行nodejs代码。”

攻击者只需诱导印象笔记在演示模式下打开一个笔记,便可窃取任意文件并执行命令。

朱铜庆演示了黑客如何利用该漏洞在目标系统中读取windows文件,以及执行calculator应用程序。

印象笔记于10月发布了windows 6.16.1测试版,首次修复了该编号为“cve-2018-18524”的漏洞。而印象笔记于本月初发布的evernote 6.16.4中,发布了该漏洞的终极补丁。

热门资讯

六部门集中约谈8家主要网约车顺风车平台

 

猜你喜欢

美媒:若不用核武,没有国家能击沉美航母!其实想多了