Evernote Web Clipper: Kritische Schwachstelle in beliebtem Chrome-Add-on
Nutzer der Chrome-Extension Web Clipper sollten überprüfen, ob sie Version 7.11.1 nutzen. Denn die vorherige gab unter Umständen vertrauliche Daten preis.
(Bild: Evernote / Chrome Web Store)
In der Chrome-Version der beliebten Browser-Erweiterung Evernote Web Clipper zum unkomplizierten Speichern von Online-Inhalten erlaubte ein Bug im Programmcode aller Versionen bis exklusive 7.11.1 das Durchführen von Cross-Site-Scripting (XSS)-Angriffen mit dem Ziel, domainübergreifend vertrauliche Nutzerinformationen einzusammeln.
Das Research Team des Sicherheitssoftwareherstellers Guardio, das den Bug entdeckt hat, beschreibt die aus ihm resultierende Schwachstelle als kritisch. Sofern es einem Angreifer gelänge, den Nutzer der Chrome-Extension auf eine speziell präparierte Webseite zu locken, könnte er von dort aus Chromes Site Isolation aushebeln, um sich Zugriff auf Nutzerdaten von beliebigen Drittanbieterwebseiten verschaffen – z.B. Cookies, Zugangsdaten oder andere gespeicherte Informationen.
Schlimmstenfalls könnte ein Angreifer sich etwa in sozialen Netzwerken als der betreffende Nutzer ausgeben und Inhalte lesen oder hinzufügen.
Version 7.11.1 wehrt XSS-Attacken ab
Guardio lobt das schnelle Handeln von Evernote: Das Research Team habe den Herausgeber der Extension am 27. Mai über die Schwachstelle informiert. Bereits am 31. Mai folgte dann das Release der abgesicherten Version 7.11.1.
Guardio zufolge wurde die Aktualisierung automatisch an die (laut Chrome Store über 4.6 Millionen) Nutzer der Extension verteilt. Dennoch sei es ratsam, die installierte Version auch manuell zu überprüfen, indem man
chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc
in die Adresszeile des Chrome-Browsers kopiere. Die Version 7.1.11 (und höher) wehre Angriffe auf die Schwachstelle mit der Kennung CVE-2019-12592 zuverlässig ab. (ovw)
