evernote

Evernote: faille critique dans l’extension sur Chrome

Des chercheurs en cyber sécurité ont découvert une faille critique dans l’extension chrome d’Evernote. Cette faille permet à un hacker de prendre le contrôle de votre navigateur et de subtiliser des informations sensibles de n’importe quels sites que vous avez visité.

Evernote est un service populaire qui permet de prendre des notes et d’organiser ses listes de tâches, plus de 4 610 000 personnes utilisent l’extension Evernote Web Clipper Extension sur leur navigateur Chrome.

Découvert par Guardio, la vulnérabilité (CVE-2019-12592) résidait dans la méthode utilisée par l’extension Evernote Web Clipper pour interagir avec les sites, les iframes et pour injecter des scripts. Cette méthode cassait la politique de même origine (same-origin policy (SOP)) et les mécanismes d’isolation de domaine.

Selon les chercheurs, la vulnérabilité permet à un site contrôlé par un hacker d’exécuter du code arbitraire sur le navigateur en se faisant passer pour l’utilisateur. Cela mène donc à une faille Universal Cross-site Scripting (UXSS ou Universal XSS).

“Il est possible de réaliser un exploit complet permettant de charger un script contrôlé par un pirate informatique distant dans le contexte d’autres sites Web via une simple commande window.postMessage,” a déclaré le chercheur.

“En abusant l’infrastructure d’injection d’Evernote, le script malveillant sera injecté dans toutes les fenêtres ciblées sans se soucier des contraintes d’origines croisées.”

Comme montré dans la vidéo de démonstration, les chercheurs ont aussi développé un exploit Proof-of-Concept (PoC) qui peut injecter un payload customisé sur les sites ciblées, et voler des cookies, des informations de connexion et d’autres informations privées.

Les extensions ajoutent des fonctionnalités utiles à votre navigateur web, mais il faut se rappeler que le code vient de parti tiers.

Comme les extensions s’exécutent dans votre navigateur web, elles doivent avoir la possibilité d’envoyer des requêtes sur le réseau, d’accéder au contenu des pages web que vous visitez et pouvoir changer leur contenu. Cela pose un risque pour vos données privées et votre sécurité.

L’équipe Guardio a signalé le problème à Evernote le mois dernier, ils ont ensuite distribué une version patchée de l’extension Evernote Web Clipper sur Chrome.

Le navigateur Chrome fait des recherches de mises à jour toutes les 5 heures pour les extensions installées et les met à jour sans intervention de l’utilisateur. Si vous utilisez cette extension vérifiez quand même que votre navigateur utilise la version 7.11.1 de Evernote ou une version postérieure.

Laisser un commentaire