Kritische Schwachstelle in der Addon Web Clipper für Chrome

[Astor27]

In der Chrome-Version der beliebten Browser-Erweiterung Evernote Web Clipper zum unkomplizierten Speichern von Online-Inhalten erlaubte ein Bug im Programmcode aller Versionen bis exklusive 7.1.11 das Durchführen von Cross-Site-Scripting (XSS)-Angriffen mit dem Ziel, domainübergreifend vertrauliche Nutzerinformationen einzusammeln.
Das Research Team des Sicherheitssoftwareherstellers Guardio, das den Bug entdeckt hat, beschreibt die aus ihm resultierende Schwachstelle als kritisch. Sofern es einem Angreifer gelänge, den Nutzer der Chrome-Extension auf eine speziell präparierte Webseite zu locken, könnte er von dort aus Chromes Site Isolation aushebeln, um sich Zugriff auf Nutzerdaten von beliebigen Drittanbieterwebseiten verschaffen – z.B. Cookies, Zugangsdaten oder andere gespeicherte Informationen.
Schlimmstenfalls könnte ein Angreifer sich etwa in sozialen Netzwerken als der betreffende Nutzer ausgeben und Inhalte lesen oder hinzufügen.Quellen: https://www.heise.de/security/meldung/E ... 46127.html
https://guard.io/blog/evernote-universa ... nerability