Evernoteが攻撃者が任意のコードを実行可能な脆弱性を修正した「Evernote for Mac v7.9.1」をリリースしています。詳細は以下から。
デジタルノートアプリ/サービスEvernoteシリーズを提供しているEvernote Corporationは現地時間2019年04月22日、AppleのMac App Storeで「Evernote for Mac v7.9.1」アップデートの提供を開始しました。このバージョンのリリースノートには「セキュリティアップデートを行いました。」としか記載されていませんが、
Summary:
A local file path traversal issue exists in Evernote 7.9 for macOS which allows an attacker to execute arbitrary programs.Code execution – Evernote ~ inputzero
今回のアップデートで修正されたCVE-2019-10038 (MACOSNOTE-28840)脆弱性は、ドバイのセキュリティ研究者Dhiraj Mishraさんが発見したもので、この脆弱性は攻撃者が細工したリンク(URI)をクリックすることで任意のコードを実行できるというもので、Evernoteにはノート(.enex)を共有する機能もあるため、これを利用すれば攻撃者はリモートからユーザーを(RCE)攻撃できるとしています。
Evernote – Local file read to code execution.https://t.co/Qm6TqhOry9#InfoSec pic.twitter.com/0sFm2fay5Y
— Dhiraj (@mishradhiraj_) 2019年4月17日
この脆弱性はEvernote for Mac v7.9.1 GAおよびEvernote 7.10 Beta 1で修正され、以降file:// URIを開く前にプロンプトを表示するようになっているので、ユーザーの方は時間を見つけてアップデートすることをお勧めします。
- Evernote – Mac App Store
- Code execution – Evernote – inputzero
コメント