Evernote 修複 macOS 應用的遠程代碼執行漏洞

TechCrunch

Evernote 修複了一個漏洞,該漏洞能夠讓攻擊者在被攻擊者的計算機上運行惡意代碼。

迪拉伊·米斯拉(Dhiraj Mishra)是一位駐迪拜的安全研究員,他於 3 月 17 日向 Evernote 報告了這個漏洞的存在。在一篇展示米斯拉概念證明的博客文章中,TechCrunch 看到,用戶隻需要點擊一個偽裝成網址的鏈接,就能不受阻礙地打開本地的應用或文件,而且系統不會彈出任何警告。

Evernote 發言人謝爾比·布森(Shelby Busen)證實該漏洞已經得到修複,並稱他們公司 “感謝” 安全人員做出的貢獻。

米斯拉 “彈出計算器窗口”,以此展示 Evernote 中存在的遠程代碼執行漏洞。(圖片來源:迪拉伊·米斯拉)

漏洞數據庫管理機構 MITRE 收錄了該漏洞,編號為 CVE-2019-10038

這個漏洞可以讓攻擊者在任何安裝了 Evernote 的 macOS 計算機上遠程運行惡意代碼。在修複措施生效以後,Evernote 現在會在用戶點擊打開 Mac 本地文件的鏈接時彈出警告。

本周二,藝電(EA)公司的 Origin 遊戲平臺也曾曝出類似的本地文件路徑遍曆漏洞。

在 2013 年發生數據泄露事件之後,Evernote 要求近 5000 萬用戶重置了密碼。後來,該公司又修改隱私政策,允許公司員工訪問用戶數據,此擧引起了爭議。在用戶表達不滿之後,Evernote 恢複到了原來的政策

翻譯:王燦均(@何無魚

Evernote fixes macOS app bug that allowed remote code execution