В macOS-версии приложения Evernote закрыли RCE-уязвимость - «Новости»
sitename
«Столько циников!»: глава ИИ Microsoft раскритиковал недовольных нашествием ИИ-агентов в Windows - «Новости сети»
«Столько циников!»: глава ИИ Microsoft раскритиковал недовольных нашествием ИИ-агентов в Windows - «Новости сети»
 Смартфоны Poco F7 и Poco X7 Pro сочетают яркий дизайн с высокой производительностью - «Новости сети»
Смартфоны Poco F7 и Poco X7 Pro сочетают яркий дизайн с высокой производительностью - «Новости сети»
 NASA показало самые детальные изображения межзвёздной кометы 3I/ATLAS - «Новости сети»
NASA показало самые детальные изображения межзвёздной кометы 3I/ATLAS - «Новости сети»
 Игровые видеокарты теперь приносят всего 7,5 % выручки Nvidia — ИИ-чипы разогнали доходы до $57 млрд - «Новости сети»
Игровые видеокарты теперь приносят всего 7,5 % выручки Nvidia — ИИ-чипы разогнали доходы до $57 млрд - «Новости сети»
 AMD и Nvidia готовятся урезать или даже полностью остановить выпуск дешёвых видеокарт из-за глобального дефицита памяти - «Новости сети»
AMD и Nvidia готовятся урезать или даже полностью остановить выпуск дешёвых видеокарт из-за глобального дефицита памяти - «Новости сети»
 Основные итоги презентации Яндекс Рекламы REKONFA Live - «Новости мира Интернет»
Основные итоги презентации Яндекс Рекламы REKONFA Live - «Новости мира Интернет»
 Satechi представила многопортовый магнитный хаб для смартфонов - «Новости мира Интернет»
Satechi представила многопортовый магнитный хаб для смартфонов - «Новости мира Интернет»
 Google представила официальный плагин Colab для VS Code - «Новости мира Интернет»
Google представила официальный плагин Colab для VS Code - «Новости мира Интернет»
 Сбер обучил нейросеть GigaChat генерации подкастов - «Новости мира Интернет»
Сбер обучил нейросеть GigaChat генерации подкастов - «Новости мира Интернет»
 Яндекс запустил платформу, в которой собраны промпты для ИИ - «Новости мира Интернет»
Яндекс запустил платформу, в которой собраны промпты для ИИ - «Новости мира Интернет»
Новости мира Интернет » Новости » В macOS-версии приложения Evernote закрыли RCE-уязвимость - «Новости»

✔В macOS-версии приложения Evernote закрыли RCE-уязвимость - «Новости»

19 апреля 2019 855 Новости 0
Рекомендуем почитать:

Xakep #240. Ghidra

  • Содержание выпуска

  • Подписка на «Хакер»

В марте 2019 года независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил опасный баг в Evernote для macOS. Проблеме был присвоен идентификатор CVE-2019-10038, и в настоящее время она уже исправлена в версии 7.10 Beta 1, а также в стабильной версии 7.9.1.


В своем блоге Мишра пишет, что проблема представляла собой обход каталога и связана с тем, что в Evernote можно делиться заметками с другими пользователями. Эксперт рассказывает, что злоумышленник мог прислать жертве специально созданную вредоносную заметку (.enex) и с ее помощью запустить любое приложение и выполнить произвольный код. Для этого нужно было воспользоваться багом и использовать в заметке специальный URI, который маскировал атаку под обычную ссылку, однако после клика на нее открывался не сайт, а локальный файл или приложение. PoC-видео доступно ниже.




Теперь проблема уже исправлена, и Evernote явно предупреждает пользователей, когда те нажимают на ссылку, которая ведет к открытию локального файла, то есть содержащую file:// URI.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Рекомендуем почитать: Xakep
CSS, Evernote Мишра проблема ссылку, версии
запостил(а)
Moore
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация