印象笔记在谷歌浏览器上的扩展存在严重漏洞影响多达460万名用户
全球知名软件印象笔记目前被发现存在严重的安全漏洞,出现问题的是印象笔记在谷歌浏览器上的扩展程序。
这个安全漏洞允许攻击者构建钓鱼网站然后触发跨站脚本攻击,攻击者可以用来读取任意网站的全部信息等。
例如当用户使用网上银行或者支付订单时可以记录信用卡号和安全码等,整个窃取过程几乎不需要用户交互。
据统计全球约有460 万名用户使用印象笔记的谷歌浏览器扩展,火狐和其他浏览器的印象笔记扩展不受影响。
这枚漏洞主要源于印象笔记扩展程序存在的逻辑错误,这个错误可以绕过浏览器的同源策略读取网站的信息。
正常情况下印象笔记扩展只会读取已被授予权限的域内容,而错误让攻击者可以在授予的域之外执行代码等。
在破坏谷歌浏览器的网站隔离功能后攻击者即可读取任意网站信息,只要用户访问对应的网站那就可被读取。
不过攻击者还需要在刚开始构建钓鱼网站诱导用户访问,完成该步骤后即可利用印象笔记扩展程序为所欲为。
印象笔记在收到研究人员的报告后目前已经修复这枚漏洞,因此用户只要升级到最新版的扩展即可安全无虞。
需要提醒的是国内用户如果能访问谷歌的话可在扩展管理页面点击更新,然后谷歌会自动升级新版本的扩展。
如果通过其他途径安装的如通过CRX进行本地安装的则必须手动进行升级,当然简单的做法就是先进行卸载。
此外第三方浏览器例如Microsoft Edge 或者OPERA等从谷歌安装的扩展,也必须在扩展管理里面手动升级。