Blog  

 +33 (0)​2 51 60 26 75  Contact

lundi, 29 juillet 2019 08:28

La vulnérabilité signalée dans Evernote Web Clipper expose les données de navigation de millions d'utilisateurs

Écrit par  ManageEngine France
Évaluer cet élément
(0 Votes)

La vulnérabilité signalée dans Evernote Web Clipper expose les données de navigation de millions d'utilisateurs.

Une vulnérabilité critique de l'extension Web Clipper Chrome d'Evernote a récemment permis aux pirates de voler les données présentes dans les sessions Web actives. Web Clipper, une extension qui permet aux utilisateurs d'enregistrer des captures d'écran de pages Web, de courriels, d'images, d'articles, etc., présentait une vulnérabilité qui permettait aux pirates d'accéder facilement aux sites Web consultés par ses 4,5 millions d'utilisateurs avant sa correction, le 31 mai 2019.

Comment fonctionne la vulnérabilité

La politique 'Same-Origin' est un mécanisme de sécurité qui limite l'interaction entre des ressources d'origines différentes. Ce mécanisme permet d'isoler les ressources potentiellement malveillantes et de réduire les cyberattaques possibles. La vulnérabilité de l'extension Web Clipper d'Evernote, nommée CVE-2019-12592, permettait aux pirates de contourner la même politique d'origine, ce qui signifiait que les pirates pouvaient lire, modifier et voler les données accessibles sur les navigateurs, et activer Universal Cross-Site Scripting sur Chrome.

Impact de la vulnérabilité sur les entreprises

Les navigateurs sont devenus un outil indispensable dans la plupart des environnements de travail, permettant aux utilisateurs de travailler avec des applications en Cloud. La vulnérabilité de Web Clipper a exposé les données sensibles des entreprises consultées par ses utilisateurs via les navigateurs Chrome à des pirates informatiques, exposant ainsi de nombreuses entreprises à un risque de violation de données.

Le problème

Avec près de 8 500 extensions dans les Web Store des navigateurs, dont beaucoup présentent des vulnérabilités similaires pouvant mener à une atteinte à la protection des données, comment savoir quelles extensions sont nuisibles ? Et comment empêcher les utilisateurs d'installer des extensions vulnérables sur votre réseau ? Trouver et éliminer les vulnérabilités des navigateurs est un défi, mais avec les bons outils, cela peut être facile.

La solution

ManageEngine Browser Security Plus est un logiciel de sécurité d'entreprise qui aide à prévenir les cyberattaques par le Web. La fonction de gestion des extensions de Browser Security Plus vous donne un aperçu des différentes extensions présentes sur votre réseau, y compris celles qui sont nuisibles. Vous pouvez désactiver les extensions nuisibles pour protéger votre réseau des vulnérabilités du navigateur.

Vous pouvez également mettre en liste blanche les extensions que vous connaissez et auxquelles vous faites confiance, en vous assurant que seules les extensions que vous avez mises en liste blanche sont présentes sur votre réseau. Les utilisateurs ne pourront pas installer une extension qui ne figure pas dans cette liste, et si l'extension est déjà présente sur une machine avant que la liste blanche ne soit implémentée, elle sera désactivée.

Browser Security Plus est également fourni avec une fonctionnalité permettant de créer votre propre référentiel d'extensions. Vous pouvez ajouter et maintenir un référentiel d'extensions critiques, et distribuer les extensions aux ordinateurs si nécessaire.

Essayez Browser Security Plus gratuitement pendant 30 jours dès aujourd'hui !

Snehaa, Product Consultant chez ManageEngine

 

Lu 84 fois Dernière modification le lundi, 15 juillet 2019 11:06

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.