需要注意了！印象筆記修復了允許遠程代碼執行 bug

根據外媒的報道，Evernote修復了一個漏洞，可能允許攻擊者在受害者的計算機上運行惡意代碼。

Dhiraj Mishra是迪拜的一名安全研究員，於3月17日向Evernote報告了這個漏洞。在一篇博客文章中展示了他的概念驗證，Mishra向TechCrunch展示了用戶只需點擊一個被屏蔽為網址的鏈接，將無阻礙地打開本地存儲的應用程序或文件，而不會發出警告。

Evernote發言人Shelby Busen證實該漏洞已得到修復，並表示該公司「讚賞」安全研究人員的貢獻。

漏洞資料庫管理員MITER根據CVE-2019-10038發布了一份諮詢報告。

該錯誤可能允許攻擊者在安裝了Evernote的任何macOS計算機上遠程運行惡意命令。自修復生效以來，Evernote現在會在用戶點擊在Mac上打開文件的鏈接時向用戶發出警告。

星期二在Electronic Arts的Origin遊戲客戶端發布了類似的本地文件路徑遍歷錯誤。

在2013年遭遇破壞後，Evernote被迫重置近5000萬個密碼，後來通過改變允許員工訪問用戶數據的隱私政策引起爭議。該公司後來在用戶投訴後退回了政策變化。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！