针对Chrome用户的流行Evernote扩展中报告的严重缺陷

Evernote是一项很受欢迎的服务，帮助人们记笔记和组织待办任务列表，已有4610000多名用户使用它Evernote Web裁剪器扩展用于Chrome浏览器。

由Guardio发现的漏洞(CVE-2019-12592)以Evernote Web Clipper扩展与网站、iFrame和注入脚本交互的方式存在，最终打破了浏览器的同源策略（SOP）和域隔离机制。
研究人员称，该漏洞可能允许攻击者控制的网站在浏览器上代表用户在其他域的上下文中执行任意代码，从而导致通用跨站点脚本（UXSS或通用XSS）问题。

 

研究人员说：“通过一个简单的window.postMessage命令，就可以实现将远程黑客控制的脚本加载到其他网站上下文中的完整攻击”。“通过滥用Evernote的预期注入基础设施，恶意脚本将被注入页面中的所有目标帧，而不考虑跨源限制”。
如视频演示所示，研究人员还开发了一种概念验证（PoC）漏洞，可以在目标网站上注入定制的负载，并从毫无戒备的用户那里窃取cookie、凭证和其他私人信息。

毫无疑问，扩展为web浏览器添加了很多有用的功能，但与此同时，相信第三方代码的想法比大多数人意识到的要危险得多。
由于扩展在您的web浏览器中运行，它们通常需要能够发出网络请求、访问和更改您访问的网页内容，这对您的隐私和安全构成了巨大威胁，无论您是从官方Firefox还是Chrome商店安装的。

研究人员警告说：“虽然应用程序作者打算提供更好的用户体验，但扩展通常拥有访问大量敏感资源的权限，并且比传统网站带来更大的安全风险”。

Guardio团队在上个月底负责地向Evernote报告了这个问题，Evernote随后为Chrome用户发布了其Evernote Web Clipper扩展的更新补丁版本。

由于Chrome浏览器会定期（通常每5小时）检查已安装扩展的新版本，并在不需要用户干预的情况下进行更新，因此您需要确保浏览器运行的是最新的Evernote 7.11.1或更高版本。