Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Windows版「Evernote」にリモートよりコマンド実行が可能となる脆弱性

「Evernote for Windows」に脆弱性が存在し、細工されたノートをプレゼンテーションモードで開くとコマンドを実行されるおそれがあることがわかった。修正版がリリースされている。

「Evernote for Windows 6.15」のプレゼンテーションモードに、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2018-18524」が含まれていることが明らかとなったもの。Knownsecのセキュリティ研究者が報告した。

同研究者によれば、「同6.14」においてクロスサイトスクリプティング(XSS)の脆弱性が判明し、その後修正版としてリリースされた「同6.15」について調査したところ、あらたな脆弱性を確認したという。

「NodeWebKit」を用いたコードを埋め込み、細工したノートを攻撃対象となるユーザーと共有してプレゼンテーションモードで開かせることで、脆弱性を悪用し、任意のファイルを読み込ませたり、コマンドを実行させることが可能となる。

Evernoteでは、10月15日に公開された「Evernote For Windows 6.16.1 beta」にて修正を実施。さらに11月5日に「Evernote for Windows 6.16.4」がリリースされたことを受け、同研究者は今回脆弱性について公表した。

(Security NEXT - 2018/11/08 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Drupal」に深刻なRCEの脆弱性 - 早急に脆弱性対応を
「Adobe Acrobat/Reader」に深刻な脆弱性 - まもなく今月2度目のアップデート
「Adobe Acrobat/Reader」が定例外アップデート - 前回修正が不十分で
ソーシャルボタン設置する「WordPress」用プラグインに深刻な脆弱性
MQTTプロトコル汎用ライブラリの旧版にDoS攻撃受ける脆弱性
VMwareの複数製品に「runc」の脆弱性 - 一部製品にアップデート
「なりすまし」生じる「Exchange Server」の脆弱性へ対処 - MS
MS月例パッチ 、脆弱性74件を修正- 悪用確認済みのゼロデイ脆弱性にも対応
コンテナランタイム「runc」の脆弱性、実証コードが複数公開 - 早期対策を
「ColdFusion」に深刻な脆弱性 - コード実行のおそれ