轻源码

  • QingYuanMa.com
  • 全球最大的互联网技术和资源下载平台
搜索
轻源码 门户 IT时讯 查看主题

印象笔记扩展被曝严重漏洞,可泄露数百万用户的敏感信息

发布者: 云文章 | 发布时间: 2021-1-31 15:30| 查看数: 5371| 评论数: 0|帖子模式

印象笔记Web Clipper Chrome扩展中被曝存在一个严重缺陷,可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。发现该漏洞的安全公司Guardio表示,“由于印象笔记广为流行,该问题可能影响使用该扩展的客户和企业,在发现之时它的用户量为460万左右。”

该问题是一个全局跨站点脚本(UXSS)漏洞,编号为CVE-2019-12592,源自一个印象笔记Web Clipper逻辑编程错误,使其可能“绕过浏览器的同源策略,导致攻击者能够在印象笔记域名以外的内联框架中获得代码执行权限。”一旦Chrome的站点隔离安全功能崩溃,其它网站账户的用户数据就无法受到保护,从而导致恶意人员能够访问第三方网站上的敏感的用户信息,“包括社交媒体、个人邮件等中的认证、金融、私密会话。”目标被重定向至受黑客控制的且加载目标第三方网站内联框架的网站,并触发旨在强迫印象笔记将恶意payload注入所有加载内联框架的利用,而该payload将“窃取cookies、凭证、私人信息并以用户身份执行动作等。”

来源:奇安信代码卫士

最新评论

轻源码让程序更轻更快

QingYuanMa.com

工作时间 周一至周六 8:00-17:30

客服QQ点击咨询

关注抖音号

定期抽VIP

Copyright © 2016-2021 https://www.qingyuanma.com/ 鲁ICP备17014494号

快速回复 返回顶部 返回列表