Evernote 修复 macOS 应用的远程代码执行漏洞

Evernote 修复了一个漏洞，该漏洞能够让攻击者在被攻击者的计算机上运行恶意代码。

迪拉伊·米斯拉 （Dhiraj Mishra）是一位驻迪拜的安全研究员，他于 3 月 17 日向 Evernote 报告了这个漏洞的存在。在一篇展示米斯拉概念证明的 博客文章 中，TechCrunch 看到，用户只需要点击一个伪装成网址的链接，就能不受阻碍地打开本地的应用或文件，而且系统不会弹出任何警告。

Evernote 发言人谢尔比·布森（Shelby Busen）证实该漏洞已经得到修复，并称他们公司 “感谢” 安全人员做出的贡献。

米斯拉 “弹出计算器窗口”，以此展示 Evernote 中存在的远程代码执行漏洞。（图片来源：迪拉伊·米斯拉）

漏洞数据库管理机构 MITRE 收录了该漏洞，编号为 CVE-2019-10038 。

这个漏洞可以让攻击者在任何安装了 Evernote 的 macOS 计算机上远程运行恶意代码。在修复措施生效以后，Evernote 现在会在用户点击打开 Mac 本地文件的链接时弹出警告。

本周二，艺电（EA）公司的 Origin 游戏平台 也曾曝出类似的本地文件路径遍历漏洞。

在 2013 年发生 数据泄露事件 之后，Evernote 要求近 5000 万用户重置了密码。后来，该公司又修改隐私政策， 允许公司员工访问用户数据 ，此举引起了争议。在用户表达不满之后，Evernote 恢复到了原来的政策 。

翻译：王灿均（ @何无鱼 ）

Evernote fixes macOS app bug that allowed remote code execution