聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
Windows版本的印象笔记应用程序中存在一个严重的跨站脚本(XSS)漏洞,可被用于窃取文件并执行任意命令。
网名为“Sebao”的研究员在印象笔记app中发现一个存储型XSS缺陷。他发现当在笔记中添加一张图片并更名后,添加的是JavaScript代码而非名称。如果笔记和另外一名用户共享,当收件人点击该图片时就会执行代码。
印象笔记在9月份发布版本6.16并修复了这个安全漏洞。然而,Knownsec 404团队的TongQing Zhu发现任意代码仍然可被注入所附加图片的名称中。
然而,跟之前的案例不同,该代码会从远程服务器加载一个Node.js文件。该脚本经由影响笔记在演示模式下使用的应用程序运行时NodeWebKit执行。
要让攻击起作用,攻击者需要说服目标用户在演示模式下打开一份印象笔记。如果利用代码得到成功执行,那么攻击者就能够窃取任意文件并执行命令。
TongQing Zhu展示了黑客如何利用该漏洞读取Windows文件并在目标系统上执行Calculaor应用。
10月中旬,印象笔记发布Windows 6.16.1 beta版本,修复了漏洞(CVE-2018-18524)。本月初,印象笔记发布Evernote 6.16.4,向所有用户推出补丁。
领取专属 10元无门槛券
私享最新 技术干货