Evernote-дегі осалдық файлдарды оқуға және еркін командаларды орындауға мүмкіндік берген

Evernote әзірлеушілері алдымен 6.16.1 beta нұсқасын, ал кейін Evernote 6.16.4. шығарып, Windows арналған қосымшадағы CVE-2018-18524 осалдығын жойды. Багты Knownsec компаниясының мамандары айқындады және ол 6.15 дейінгі нұсқаларға қауіп төндірген.

Зерттеушілер осалдық шабуыл жасаушыға құрбанның машинасында еркін бағдарламаларды іске асыруға және командаларды орындауға мүмкіндік бергенін, бұл үшін пайдаланушыны мәжбүрлеп қаратып, жазбамен бөлісу ғана қажет болғанын ашық айтты. Баг stored XSS деп аталатын, яғни «сақтаудағы» немесе «тұрақты» XSS-осалдығы түрінде болған.

Knownsec талдаушылары жөнсіздікті түзету екі кезеңмен жүзеге асырылғанын баяндауда. Себебі бастапқыда қауіпті XSS-багты Sebao лақап атымен танымал АҚ-маманы тапқан. Ол Evernote жазбасына сурет енгізіп, содан кейін оның атауын өзгертсе, атауына JavaScript кодын кіріктіруге болатынын айқындады. Осындай жазбамен басқа пайдаланушымен бөлісіп, пайдаланушы суретті басқан кезде код орындалады.

Алайда әзірлеушілер бұл жөнсіздікті ағымдағы жылдың қыркүйек айында түзеткен болатын. Knownsec мамандары осалдық толығымен жойылмағанын және қоса берілген суреттің атауына еркін кодты кіріктіру мүмкіндігі бұрыңғыдай сақталғанын байқады. Шын мәнінде, онда әзірлеушілер тек қана атауларда <,>,» символдарын пайдалануға тыйым салған.

Жөнсіздікті зерттеуді жалғастырып, зерттеушілер суреттің атауына қашықтықтағы серверден .js файлын жүктеуге арналған кодты бұрыңғыша кіріктіріп, презентация режимінде Evernote пайдаланылатын NodeWebKit іске қосуға болатынын анықтады. Яғни, жөнсіздікті пайдалану пайдаланушының зиянды жазбаны жай ғана ашпай, мұны презентация режимінде орындауын талап еткен. Өзгесінде XSS-осалдығы өзгеріссіз орнында болған.

Ақпарат көзі: xakep.ru