Een kwetsbaarheid in de Chrome-extensie van de Evernote Web Clipper maakte het mogelijk gebruikersdata te verzamelen via cross-site scripting. Via die kwetsbaarheid was het mogelijk data te stelen van andere websites.
Het lek werd ontdekt door beveiligingsbedrijf Guardio. Dat ontdekte een manier om de extensie te misbruiken om informatie af te lezen van niet alleen Evernote zelf, maar ook van andere websites. De kwetsbaarheid, volgbaar onder CVE-2019-12592, is inmiddels opgelost door Evernote.
Om de exploit uit te voeren moesten aanvallers het slachtoffer naar een besmette website sturen. Op die website werd de kwetsbaarheid in de Web Clipper uitgebuit door iframes met daarin code die bijvoorbeeld cookies kan stelen of inloggegevens kon bemachtigen. De aanvallers moesten voor de aanval een apart iframe maken voor iedere website waar zij op mee wilden kijken of waar zij informatie van wilden bemachtigen. In een proof-of-concept laten zij zien hoe zij via de kwetsbaarheid een bericht kunnen plaatsen op Facebook.
De kwetsbaarheid in de extensie maakte het mogelijk de domain isolation-beveiliging van Chrome te omzeilen. De extensie op Firefox was niet kwetsbaar. De Web Clipper voor Chrome werd door 4,6 miljoen mensen gebruikt, maar voor zover bekend is het lek niet actief uitgebuit.
/i/2006258950.png?f=fpa)
/i/1354644508.png?f=fpa)
/i/2003074078.png?f=fpa)
/i/2001086349.png?f=fpa)
:strip_icc():strip_exif()/u/183919/barcode.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/70044/logo_tweakers.jpg?f=community){kind=logo}
:strip_icc():strip_exif()/u/83648/logo-website-icoon-web.jpg?f=community){kind=logo}
:strip_icc():strip_exif()/u/279268/crop5f3bc791de812_cropped.jpeg?f=community){kind=small}
/u/586088/crop67f63a210249f_cropped.png?f=community){kind=small}