印象笔记Web Clipper Chrome扩展中被曝存在一个严重缺陷,可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。发现该漏洞的安全公司Guardio表示,“由于印象笔记广为流行,该问题可能影响使用该扩展的客户和企业,在发现之时它的用户量为460万左右。”
该问题是一个全局跨站点脚本(UXSS)漏洞,编号为CVE-2019-12592,源自一个印象笔记Web Clipper逻辑编程错误,使其可能“绕过浏览器的同源策略,导致攻击者能够在印象笔记域名以外的内联框架中获得代码执行权限。”一旦Chrome的站点隔离安全功能崩溃,其它网站账户的用户数据就无法受到保护,从而导致恶意人员能够访问第三方网站上的敏感的用户信息,“包括社交媒体、个人邮件等中的认证、金融、私密会话。”目标被重定向至受黑客控制的且加载目标第三方网站内联框架的网站,并触发旨在强迫印象笔记将恶意payload注入所有加载内联框架的利用,而该payload将“窃取cookies、凭证、私人信息并以用户身份执行动作等。”
来源:奇安信代码卫士
