印象筆記 Web Clipper Chrome 擴充套件中被曝存在一個嚴重缺陷，可導致潛在攻擊者訪問使用者儲存在第三方網路服務中的敏感資訊。

發現該漏洞的安全公司 Guardio 表示，“由於印象筆記廣為流行，該問題可能影響使用該擴充套件的客戶和企業，在發現之時它的使用者量為460萬左右。”

全域性跨站點指令碼缺陷

該問題是一個全域性跨站點指令碼 (UXSS) 漏洞，編號為 CVE-2019-12592，源自一個印象筆記 Web Clipper 邏輯程式設計錯誤，使其可能“繞過瀏覽器的同源策略，導致攻擊者能夠在印象筆記域名以外的內聯框架中獲得程式碼執行許可權。”

一旦 Chrome 的站點隔離安全功能崩潰，其它網站賬戶的使用者資料就無法受到保護，從而導致惡意人員能夠訪問第三方網站上的敏感的使用者資訊，“包括社交媒體、個人郵件等中的認證、金融、私密會話。”

目標被重定向至受黑客控制的且載入目標第三方網站內聯框架的網站，並觸發旨在強迫印象筆記將惡意 payload 注入所有載入內聯框架的利用，而該 payload 將“竊取cookies、憑證、私人資訊並以使用者身份執行動作等。”中國菜刀

Guardio 為CVE-2019-12592 設計出起作用的 PoC，展示瞭如何通過易受攻擊的印象筆記 Web Clipper Chrome 擴充套件版本獲取對社交媒體和金融資訊、購物資訊、私密資訊、認證資料和郵件的訪問許可權。

演示視訊

漏洞已修復

5月27日收到漏洞報告，5月31日，向所有使用者推出修復方案，並在6月4日證實補丁完全起作用。奇熱看片

為了確保使用者使用的是修復後的擴充套件版本，可在網址chrome

Guardio 公司的首席技術官 Michael Vainshtein 表示，“我們發現的這個漏洞證明了仔細清潔瀏覽器擴充套件的重要性。人們需要意識到，即使是最可信的擴充套件也會包含攻擊者路徑。攻擊者需要的不過是一個不安全的擴充套件，就能攻陷你在網上所做的或儲存的所有一切。這種漣漪效果立即展現並有很強的的殺傷力。”

2017年，印象筆記不得不放棄對隱私策略的“改進”提案，因為改進後員工能夠讀取使用者的未加密筆記，而此舉招來使用者的強烈反對。今年4月中旬，印象筆記修復了一個路徑遍歷漏洞，它可導致攻擊者遠端執行目標 Mac 上本地儲存的應用或檔案。