线上真人赌场
 
  首页 彩票工具 数据专家 媒体预测 复式汇总 指数分析 竞技彩 数据图表 彩票公益 综合指数 彩票日报
   当前位置: 线上真人赌场 >>> 数据图表 >>> 皇冠888彩票_攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件
 

皇冠888彩票_攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

2020-01-11 11:38:14     来源: 线上真人赌场

皇冠888彩票_攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

皇冠888彩票,更多全球网络安全资讯尽在e安全官网www.easyaq.com

小编来报:安全专家在印象笔记(evernote)应用程序windows 客户端发现一个存储型xss漏洞,该漏洞可被用于窃取文件、执行任意命令。

据报道,以昵称“@sebao”在网上活动的安全专家在印象笔记应用程序windows 客户端中发现存储型跨站点脚本(xss)漏洞,攻击者可利用该漏洞窃取文件以及执行任意命令。

sebao注意到,用户在笔记中添加照片后,可以使用javascript代码对文件重命名,而不是普通名称。。

印象笔记于九月发布版本6.16.,对该存储型xss漏洞进行了修复,但并未完全修复该漏洞。

知道创宇404实验室(knownsec 404 team)专家朱铜庆发现,上述方法经变通后仍能执行任意代码。

朱铜庆发现,该取代“名称”命名的“代码”可从远程服务器下载node.js文件,该脚本可通过印象笔记在演示模式下使用的nodewebkit执行。

朱铜庆解释道,“我发现,nodewebkit存在于印象笔记的‘c:\\program files(x86)\evernote\evernote\nodewebkit’文件中,且在演示模式下可用。另一个好消息是,我们可在演示模式下利用存储型xss执行nodejs代码。”

攻击者只需诱导印象笔记在演示模式下打开一个笔记,便可窃取任意文件并执行命令。

朱铜庆演示了黑客如何利用该漏洞在目标系统中读取windows文件,以及执行calculator应用程序。

印象笔记于10月发布了windows 6.16.1测试版,首次修复了该编号为“cve-2018-18524”的漏洞。而印象笔记于本月初发布的evernote 6.16.4中,发布了该漏洞的终极补丁。

 
新闻
· 戴岭:期权提供多元化的投资方式 场外期权比场内期
· 顶着诈骗罪20多年最高法今改判 人已去世3年多
· 震动金融圈!平安银行两任上海分行行长前后脚被查,
· 地名整治引热议 民政部:防止随意扩大清理整治范围
· 值得学习!余秋雨面对人生的态度:马行千里,不洗泥
· 房子只交了首付如何卖?交不起房贷有什么解决方法?
· 中俄让白宫陷入绝境 美陆军哭穷真相出人意料
· 大师自制野钓窝料全揭秘,包你满载而归!
· 讲好中国故事 塑好中国魂
· 油价年内第13次上调 加满一箱多花2.5元
栏目资讯
· 震动金融圈!平安银行两任上海分行行长前后脚被查,
· 中俄让白宫陷入绝境 美陆军哭穷真相出人意料
· 「图」哈雷·戴维森预热全新电动自行车 2020年
· 谋刺董卓的是王温侯 明清学者认为这个王温侯是灭汉
· “迎北京冬奥、展非遗风采” —石景山武警某中队“
· 这样炸薯条给孩子吃,低脂又美味,比外面买的健康几
· 新赛季十大最需证明自己球员!两状元待验身价,欧文
· 哭吧!西二旗,前进吧!西二旗
· iOS 13.3测试版依旧翻车:网友直呼正式版赶
· 穆萨梅开二度尼日利亚击败冰岛迎首胜,阿根廷队迎来
推荐
· 浙江省杭州市桐庐县市场监管局多措并举整治保健市场
· 城市向上之西青区:天津环城置业首选 这个板块最低
· 不满裁判判罚,苏牙怒骂边裁:满嘴谎言的骗子
· 通富微电大幅拉升2.87% 股价创近2个月新高
· 海通荀玉根:入摩和CDR都近了 A股国际化加速
· 投资戴德梁行瓜熟蒂落,万科物业用好洋行拓展高端商
· 濮耐股份使用自有资金4888万元对控股子公司翔晨
· 亿达中国11月合约销售额同比增长5.3%至4.5
· 证券事务代表走了,副总裁走……节前,燕塘乳业两高
· 被坑几万元?面对套路深似海理发店,天猫网友一秒破
 
 
 
Copyright 2018-2019 tdcgaskets.com 线上真人赌场 Inc. All Rights Reserved.