Lỗ hổng nghiêm trọng trong Tiện ích mở rộng Evernote của Chrome

Các nhà nghiên cứu về an ninh mạng mới đây đã phát hiện ra một lỗ hổng nghiêm trọng trong tiện ích mở rộng phổ biến Evernote của Chrome. Lỗ hổng này có thể cho phép các hacker chiếm quyền điều khiển trình duyệt và đánh cắp thông tin nhạy cảm từ bất kỳ trang web nào mà người dùng truy cập.

Evernote là một dịch vụ phổ biến giúp người dùng ghi chú và sắp xếp danh sách công việc phải làm (to-do task list) và hiện có hơn 4.610.000 người dùng đang sử dụng Tiện ích mở rộng Evernote Web Clipper cho trình duyệt Chrome.

Lỗ hổng nghiêm trọng trong Tiện ích mở rộng Evernote cho người dùng Chrome

Guardio đã phát hiện ra lỗ hổng (CVE-2019-12592) nằm trong cách thức tiện ích mở rộng Evernote Web Clipper tương tác với các trang web, iframes và tiêm script, cuối cùng phá vỡ chính sách cùng nguồn gốc của trình duyệt (SOP) cũng như cơ chế cách ly tên miền (domain-isolation mechanism).

Theo các nhà nghiên cứu, lỗ hổng này có thể cho phép một trang web bị hacker kiểm soát thực thi mã tùy ý trên trình duyệt trong bối cảnh các tên miền khác thay mặt người dùng, dẫn đến sự cố Universal Cross-site Scripting (UXSS hoặc Universal XSS).

Bằng cách lạm dụng cơ sở hạ tầng tiêm nhiễm có chủ đích của Evernote, tập lệnh độc hại sẽ được đưa vào tất cả các khung mục tiêu trong trang bất kể các ràng buộc về cross-origin.

Khai thác PoC lỗ hổng trên tiện ích mở rộng Evernote cho Chrome

Như được trình bày trong video mô tả, các nhà nghiên cứu cũng đã phát triển một khai thác PoC có thể tiêm nhiễm một payload tùy chỉnh vào các trang web được nhắm mục tiêu và đánh cắp cookie, thông tin đăng nhập, cũng như các thông tin cá nhân khác mà người dùng không hề hay biết.

Không thể phủ nhận là các tiện ích mở rộng giúp bổ sung rất nhiều tính năng hữu ích cho trình duyệt web của người dùng, nhưng đồng thời, việc tin tưởng mã code từ các bên thứ 3 thực sự mang lại rất nhiều rủi ro, hơn cả những gì mọi người thường nhận thức về nó.

Điều này xuất phát từ thực tế các tiện ích mở rộng chạy trong trình duyệt web của người dùng, do đó chúng thường yêu cầu khả năng thực hiện các network request, truy cập và thay đổi nội dung của các trang web mà người dùng ghé thăm, từ đó dẫn tới các mối đe dọa lớn cho quyền riêng tư và bảo mật, kể cả khi người dùng cài đặt các tiện ích này từ các cửa hàng Firefox hoặc Chrome chính thức.

Lỗ hổng UXSS trong Evernote Web Clipper đã được vá

Nhóm Guardio đã chủ động báo cáo vấn đề này với Evernote vào cuối tháng trước, sau đó không lâu phía công ty cũng đã phát hành một phiên bản cập nhật vá lỗi của tiện ích mở rộng Evernote Web Clipper cho người dùng Chrome.

Mặc dù, theo định kỳ, cứ sau mỗi 5 giờ, trình duyệt Chrome sẽ kiểm tra các phiên bản mới của các tiện ích mở rộng đã cài đặt và cập nhật chúng mà không yêu cầu sự can thiệp của người dùng, tuy nhiên bạn cũng cần kiểm tra để chắc chắn là trình duyệt của mình đang chạy phiên bản Evernote 7.11.1 trở lên.

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.