印象笔记存在 XSS 缺陷,可导致黑客窃取文件执行命令

聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

Windows版本的印象笔记应用程序中存在一个严重的跨站脚本(XSS)漏洞,可被用于窃取文件并执行任意命令。

网名为“Sebao”的研究员在印象笔记app中发现一个存储型XSS缺陷。他发现当在笔记中添加一张图片并更名后,添加的是JavaScript代码而非名称。如果笔记和另外一名用户共享,当收件人点击该图片时就会执行代码。

印象笔记在9月份发布版本6.16并修复了这个安全漏洞。然而,Knownsec 404团队的TongQing Zhu发现任意代码仍然可被注入所附加图片的名称中。

然而,跟之前的案例不同,该代码会从远程服务器加载一个Node.js文件。该脚本经由影响笔记在演示模式下使用的应用程序运行时NodeWebKit执行。

要让攻击起作用,攻击者需要说服目标用户在演示模式下打开一份印象笔记。如果利用代码得到成功执行,那么攻击者就能够窃取任意文件并执行命令。

TongQing Zhu展示了黑客如何利用该漏洞读取Windows文件并在目标系统上执行Calculaor应用。

10月中旬,印象笔记发布Windows 6.16.1 beta版本,修复了漏洞(CVE-2018-18524)。本月初,印象笔记发布Evernote 6.16.4,向所有用户推出补丁。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181108B0WWH700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券