O Evernote é dos programas mais conhecidos para quem quiser tomar notas e as quiser guardar num local que seja acessível de todo o lado.

Foi encontrada uma falha de nível crítico designada por CVE-2018-18524, que retrata uma situação denominada em cibersegurança por Cross-site scripting e que permite, se devidamente explorada, roubar ficheiros e executar comandos de forma arbitrária.

Como funciona?

Segundo o investigador, assim que o utilizador adiciona uma imagem a uma nota e muda o seu nome, pode usar código de javascript em vez do nome. Ora, caso a nota seja partilhada com outro utilizador do programa, o código seria executado se o recipiente clicasse na imagem. É, portanto, um cross-site scripting "stored" ou armazenado. Além da mudança de nome, a falha podia ser explorada a partir de um ficheiro em Node.js proveniente de um servidor remoto, sendo que neste caso o script seria executado pelo NodeWebKit quando o Evernote estivesse em modo apresentação.

Versão corrigida

6.16.4

Para mais informações sobre a vulnerabilidade e vídeo a demonstrar a forma como a mesma podia ser explorada: https://www.zdnet.com/article/evernote-for-windows-patch-resolves-stored-xss-vulnerability/