Evernote、攻撃者が任意のコードを実行可能な脆弱性を修正した「Evernote for Mac v7.9.1」をリリース。

Evernote
記事内に広告が含まれています。
スポンサーリンク
スポンサーリンク
スポンサーリンク

 Evernoteが攻撃者が任意のコードを実行可能な脆弱性を修正した「Evernote for Mac v7.9.1」をリリースしています。詳細は以下から。

 デジタルノートアプリ/サービスEvernoteシリーズを提供しているEvernote Corporationは現地時間2019年04月22日、AppleのMac App Storeで「Evernote for Mac v7.9.1」アップデートの提供を開始しました。このバージョンのリリースノートには「セキュリティアップデートを行いました。」としか記載されていませんが、

Evernote for Mac v7.9.1

Summary:
A local file path traversal issue exists in Evernote 7.9 for macOS which allows an attacker to execute arbitrary programs.

Code execution – Evernote ~ inputzero

今回のアップデートで修正されたCVE-2019-10038 (MACOSNOTE-28840)脆弱性は、ドバイのセキュリティ研究者Dhiraj Mishraさんが発見したもので、この脆弱性は攻撃者が細工したリンク(URI)をクリックすることで任意のコードを実行できるというもので、Evernoteにはノート(.enex)を共有する機能もあるため、これを利用すれば攻撃者はリモートからユーザーを(RCE)攻撃できるとしています。

 この脆弱性はEvernote for Mac v7.9.1 GAおよびEvernote 7.10 Beta 1で修正され、以降file:// URIを開く前にプロンプトを表示するようになっているので、ユーザーの方は時間を見つけてアップデートすることをお勧めします。

コメント

タイトルとURLをコピーしました