Kritischer Fehler in Evernote Web Clipper für Chrome

Benutzer der Web Clipper-Erweiterung von Evernote für Google Chrome sollten überprüfen, ob sie auf die neueste Version aktualisiert wurde, nachdem ein Sicherheitsunternehmen Einzelheiten zu einer gefährlichen Sicherheitslücke veröffentlicht hat.

Von Guardio im Mai entdeckt, bedeutet „gefährlich“ in diesem Zusammenhang, dass jeder, der es im ungepatchten Zustand verwendet, nicht nur dem Risiko einer Gefährdung seines Evernote-Kontos, sondern möglicherweise auch von Konten Dritter (E-Mail, soziale Medien, Bankgeschäfte) ausgesetzt, die Sie zur gleichen Zeit geöffnet haben.

Als CVE-2019-12592 bezeichnet, handelt es sich um einen UXSS-Fehler (Universal Cross-Site Scripting), der durch einen „logischen Codierungsfehler“ verursacht wird und den Domänenisolationsschutz des Browsers aufhebt.

Ausgehend von der angebotenen Beschreibung würde das Ausnutzen mehrere Schritte erfordern, von denen der erste den Benutzer auf eine böswillige oder kompromittierte Website locken würde.

Der Angriff würde dann iFrame-Tags laden, die auf bestimmte Dienste abzielen, und Evernote entführen, um Nutzdaten in alle iFrames einzufügen:

Injected payload is customized for each targeted website, able to steal cookies, credentials, private information, perform actions as the user and more.

Um die Gefahr zu demonstrieren, hat Guardio einen Proof-of-Concept entwickelt, um zu zeigen, dass es möglich ist, die Sicherheitsanfälligkeit auszunutzen, um Benutzerdaten unter realen Bedingungen zu stehlen.

Wer ist betroffen und wer nicht?

Nur die 4,6 Millionen Nutzer der Chrome-Erweiterung müssen aktualisiert werden (Nutzer der Firefox-, Opera- und Edge-Entsprechungen sind nicht betroffen).

Sie werden wissen, dass Sie einer von ihnen sind, wenn Chrome angibt, dass Evernote Web Clipper älter ist als die am 31. Mai 2019 veröffentlichte gepatchte Version 7.11.1.

Chrome sollte automatisch auf diese Version aktualisiert worden sein. Sie können jedoch eine manuelle Aktualisierung durchführen, indem Sie auf das Erweiterungsfenster (chrome: // extensions) zugreifen und den Entwicklerschieberegler auf der rechten Seite aktivieren. Dadurch wird die Schaltfläche „Aktualisieren“ für die Erweiterungen angezeigt.

Lobenswerterweise hat Evernote die gepatchte Version nur drei Tage nach der Benachrichtigung repariert und ausgeliefert. Genau das sollten Unternehmen unter diesen Umständen tun.

Erweiterungsrisiken

Web-Clipping-Erweiterungen sind eine wunderbare Erfindung für alle, die Screenshots speichern oder Webinhalte speichern und mit Anmerkungen versehen möchten, in diesem Fall in ihrem Evernote-Konto.

Hierfür sind jedoch Berechtigungen erforderlich. Hier kommt das erhöhte Risiko ins Spiel. Wie Guardio sagt:

This vulnerability is a testament to the importance of treating browser extensions with extra care and only installing extensions from trusted sources.

Wie bei Evernote hatten auch legitime Erweiterungen ihre Schwächen, wie beispielsweise die, die sich 2018 auf Grammatik auswirkte.

Ich empfehle, so wenig Erweiterungen wie möglich zu installieren und vor allem die erforderlichen Berechtigungen zu prüfen, und zwar nicht nur in Chrome, sondern in jedem Browser.

In Chrome erfolgt dies über „Erweiterungen“> „Details“. In Firefox werden die Berechtigungen aufgelistet, wenn der Benutzer auf die Schaltfläche „Zu Firefox hinzufügen“ klickt. Für Opera ist es Erweiterungen> Informationen.