Esta falha crítica, se devidamente explorada, permitia aos atacantes apoderarem-se do browser da vítima e roubarem informação sensível acerca de qualquer website a que tivessem acesso.

O Evernote é uma aplicação bastante popular que permite aos utilizadores tomarem notas e organizarem as suas tarefas; mais de 4 milhões de utilizadores mantinham a extensão para o seu navegador.

Esta falha é dada pelo CVE-2019-12592. O problema residia essencialmente na forma como a funcionalidade do Web Clipper interagia com websites, iframes e scripts de injeção, chegando a uma altura que conseguia violar a SOP (ou Política da mesma origem) do browser e mecanismos de isolamento do domínio.

Desta forma, a falha podia ser usada para o atacante conseguir executar código de forma arbitrária no browser da vítima em nome da mesma, levando a situações de Cross-site Scripting.

O problema já foi corrigido, sendo que os utilizadores devem fazer a atualização para a versão 7.11.1.

Fonte: https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/