Evernote Chrome扩展程序漏洞可能允许访问个人信息

作为Guardio正在进行的安全分析工作的一部分，利用内部技术和研究人员的结合发现了这个漏洞，即一个标记为CVE-2019-12592的通用XSS。Guardio在5月的最后一周向Evernote披露了漏洞，这促使Evernote在不到一周的时间内解决这些漏洞并推出完整的修复程序。

由于Evernote广受欢迎，这一问题可能会影响其消费者和使用扩展的公司，即发现时约4600000名用户。

Web裁剪器扩展中的逻辑编码错误可能允许攻击者绕过浏览器的同一源策略，在Evernote域之外的iframe中授予攻击者代码执行权限。由于浏览器的域隔离机制被破坏，可以执行代码，允许攻击者代表用户执行操作，并允许访问受影响的第三方网页和服务上的敏感用户信息，包括身份验证、财务、社交媒体中的私人对话、个人电子邮件，还有更多。

根据其安全页面，Evernote“定期评估其基础设施和应用程序的漏洞，并修复可能影响客户数据安全的漏洞。”

随着向云端移动的趋势继续，浏览器正在成为用户实际上的操作系统——取代用户使用其应用程序和访问其数据的位置。虽然应用程序作者努力提供更快、更流畅的用户体验，但是扩展通常具有访问敏感资源库的权限，无意中会比传统网站带来更大的安全风险。

“我们发现的漏洞证明了格外小心地审查浏览器扩展的重要性。人们需要意识到，即使是最可信的扩展也可能包含攻击者的路径，”Guardio首席技术官MichaelVainstein说。“只需要一个不安全的扩展就可以危害到你在网上做的任何事情或存储。这种涟漪效应是直接而强烈的。”