Evernote 修复 macOS 应用的远程代码执行漏洞

下一篇文章

Zoom 确定 IPO 发行价

Evernote 修复了一个漏洞,该漏洞能够让攻击者在被攻击者的计算机上运行恶意代码。

迪拉伊·米斯拉(Dhiraj Mishra)是一位驻迪拜的安全研究员,他于 3 月 17 日向 Evernote 报告了这个漏洞的存在。在一篇展示米斯拉概念证明的博客文章中,TechCrunch 看到,用户只需要点击一个伪装成网址的链接,就能不受阻碍地打开本地的应用或文件,而且系统不会弹出任何警告。

Evernote 发言人谢尔比·布森(Shelby Busen)证实该漏洞已经得到修复,并称他们公司 “感谢” 安全人员做出的贡献。

米斯拉 “弹出计算器窗口”,以此展示 Evernote 中存在的远程代码执行漏洞。(图片来源:迪拉伊·米斯拉)

漏洞数据库管理机构 MITRE 收录了该漏洞,编号为 CVE-2019-10038

这个漏洞可以让攻击者在任何安装了 Evernote 的 macOS 计算机上远程运行恶意代码。在修复措施生效以后,Evernote 现在会在用户点击打开 Mac 本地文件的链接时弹出警告。

本周二,艺电(EA)公司的 Origin 游戏平台也曾曝出类似的本地文件路径遍历漏洞。

在 2013 年发生数据泄露事件之后,Evernote 要求近 5000 万用户重置了密码。后来,该公司又修改隐私政策,允许公司员工访问用户数据,此举引起了争议。在用户表达不满之后,Evernote 恢复到了原来的政策

翻译:王灿均(@何无鱼

Evernote fixes macOS app bug that allowed remote code execution