Vulnerabilidad en el plugin Evernote para Chrome

Se ha hecho pública la noticia de la existencia de un error en el plugin Evernote para el navegador Google Chrome que actualmente está siendo utilizada por más de 4,5 millones de usuarios.

Evernote, es un servicio que nos permite organizar nuestras notas o tareas a través de una aplicación existente en muchas plataformas, permitiéndonos tener sincronizadas estas notas en distintos dispositivos e incluso compartirlas con otros usuarios.

La vulnerabilidad ha sido encontrada por los investigadores de seguridad de Guardio, y se le ha asignado del identificador CVE-2019-12592, que solo afecta a la extensión ‘Evernote Web Clipper’, una extensión disponible para el navegador Google Chrome.

El error reside en la forma en la que la extensión interactúa con los sitios web, siendo posible romper los mecanismos de políticas del mismo origen (same-origin policy) y de dominio aislado (domain-isolation).

Según los investigadores, el error podría ser aprovechado para ejecutar código arbitrario a través de una página web especialmente manipulada e incluso podría ser utilizado para leer información sensible del usuario y no solo en el contexto del dominio de Evernote.

Junto al reporte, los investigadores de seguridad han publicado un vídeo en el que puede apreciarse una prueba de concepto funcional que aprovecha esta vulnerabilidad y que a través de un fichero javascript especialmente manipulado permite obtener información sensible del usuario, como puede ser información de sus redes sociales.

Actualmente el error está solucionado en la versión 7.11.1 o superior y debería instalarse de forma automática por el propio Chrome.

Más información:

Critical Vulnerability Discovered in Evernote’s Chrome Extension
https://guard.io/blog/evernote-universal-xss-vulnerability