| 17 апреля 2019 г. — 7:03 PT
Приложение Evernote для Mac имело уязвимость, которая могла позволить злоумышленнику удаленно запускать вредоносный код…
TechCrunch объясняет проблему.
Dhiraj Mishra, исследователь безопасности из Дубая, сообщил об ошибке Evernote 17 марта. В своем блоге, демонстрирующем доказательство концепции, Mishra показал TechCrunch, что пользователю достаточно было щелкнуть по ссылке, замаскированной под веб-адрес, которая без каких-либо препятствий и предупреждений открывала локально сохраненное приложение или файл…
Ошибка могла позволить злоумышленнику удаленно выполнять вредоносные команды на любом компьютере macOS с установленным Evernote.
Mishra опубликовал видео (ниже) в своем блоге, демонстрирующее, как это работало: пользователь, нажимая на ссылку, которая выглядит как веб-страница, на самом деле открывал Калькулятор. Он выбрал безобидный пример для своего доказательства концепции, но злоумышленник, конечно, мог бы сделать что-то гораздо более тревожное.
Исследователь безопасности уведомил Evernote и ждал, пока они исправят ее, прежде чем раскрывать информацию об ошибке.
Представитель Evernote Шелби Бусен подтвердил, что ошибка была исправлена, и сказал, что компания «ценит» вклад исследователей безопасности…
С момента внедрения исправления Evernote теперь предупреждает пользователей, когда они нажимают на ссылку, открывающую файл на их Mac.
В 2016 году в Evernote была ошибка, из-за которой изображения и другие вложения могли быть потеряны из заметки, и проблема конфиденциальности, которую компания решила вскоре после ее обнаружения.