Descubierta una vulnerabilidad en Web Clipper de Evernote, una extensión para Google Chrome

Se descubrió una vulnerabilidad de cross-site scripting (XSS) en Web Clipper de Evernote; la compañía la parchó en menos de una semana.

Una vulnerabilidad de cross-site scripting (XSS) en Web Clipper de Evernote, una extensión de Google Chrome, permitió a hackers obtener acceso a sesiones activas de otros sitios web abiertos en el mismo navegador, según la compañía de seguridad Guardio. La vulnerabilidad —llamada CVE-2019-12592— permitió que los cibercriminales circunvalen la política del mismo origen de Chrome. Esto creó una situación en la cual el código podría ser ejecutado, lo que, a su vez, podría permitir que un atacante realice acciones de parte del usuario y permitir que acceda a la información sensible del mismo en páginas web y servicios afectados de terceros, incluyendo la autentificación, información financiera, conversaciones privadas en redes sociales, mensajes de correos electrónicos personales y más.

La extensión afectada tiene más de 4.6 millones de usuarios, según las estadísticas en la tienda de Chrome Web; por lo tanto, teóricamente, esto puso en riesgo a un gran número de usuarios. Sin embargo, el manejo de Evernote de esta vulnerabilidad fue ejemplar, ya que la compañía emitió una actualización (la versión 7.11.1) para solventarla menos de una semana después de haber sido notificada.

Web Clipper permite que los usuarios recorten, subrayen, anoten y tomen capturas de pantalla de los contenidos de sitios web y los graben en una cuenta de Evernote. Para permitir esta funcionalidad, un archivo de JavaScript es inyectado en cada página web. Una función usada para pasar un URL al espacio de nombres (namespace) de la extensión no fue correctamente saneada, lo que permitió que los hackers inyecten su propio script —que luego fue inyectada en otras páginas web— lo que permitió la exfiltración de datos. Guardio presentó una explicación técnica completa en su blog.

Aunque los expertos en TI seguramente rechazan la idea de instalar extensiones para navegadores que carecen de confianza, el modelo de seguridad bastante mejorado de Google Chrome pudo haber dado un falso sentido de seguridad a los usuarios técnicos. Aunque los servicios como Evernote sí merecen confianza, instalar extensiones es igual (o más) arriesgado que instalar aplicaciones nativas en una computadora.

Este artículo, escrito por apareció originalmente en inglés, en la página web TechRepublic.

¿Cómo puedes proteger a tus equipos de este tipo de vulnerabilidades? Llena este formulario y uno de nuestros consultores en TI se pondrá en contacto contigo.

Nombre y apellido *

Correo electrónico *

Teléfono celular *

Organización | Empresa *

Ciudad *

Asunto *

Mensaje *