近期，印象笔记附加组件被曝出现严重bug，数百万用户的敏感数据恐有泄露的风险。

据悉，此bug是“印象笔记”浏览器网页剪辑拓展功能中出现的一个关键缺陷，这可能导致潜在攻击者从第三方在线服务中访问用户的敏感信息。

而发现该bug的安全公司Guardio表示:“由于印象笔记的广泛使用，此次事件中可能受影响的使用该扩展的用户总计大约有460万。”

安全问题是一个通用跨站点脚本(UXSS)(又名通用XSS)，编号为CVE-2019-12592，源自印象笔记网页裁剪器逻辑编码错误。该错误使得“绕过浏览器的相同源策略，授予攻击者在印象笔记域之外的Iframes中执行代码的权限”成为可能。

这可以通过将目标重定向到黑客控制的网站来实现。这些网站使用目标第三方网站加载隐藏的Iframes，并触发一个bug，该bug旨在迫使印象笔记向所有加载的Iframes中注入恶意负载，该负载将窃取cookies、凭据、私有信息、以用户身份执行操作等。

Guardio为CVE-2019-12592 bug设计了一个有效的概念验证(PoC)，它演示了如何访问社交媒体和财务信息、购物数据、私人消息、身份验证数据，以及任何使用易受攻击的印象笔记网页裁剪器Chrome扩展版本的人的电子邮件。

印象笔记在5月27日收到Guardio负责的披露报告后，用了不到一周的时间就完全修补了这个bug。并于5月31日向所有用户推出了修补程序，6月4日该修补程序被确认为完全可用。

Guardio首席技术官迈克尔·温斯坦表示：“我们发现的bug证明了格外小心地检查浏览器扩展的重要性。人们需要意识到，即使是最可信的扩展也可能包含攻击者的路径。只需要一个不安全的扩展就可以危及你在网上做的任何事情以及你所有在线存储的内容。安全类的bug就是会引起这样强烈的连锁反应。”

在2017年，印象笔记就不得不收回隐私政策的一项“改进”提案，该提案因为允许其工作人员阅读用户未加密的笔记，而被用户强烈反对。最近，在4月中旬，印象笔记也修复了一个路径遍历bug，这个bug会导致攻击者能在目标的Mac上远程运行本地存储的应用程序或文件。

参考文章：https://www.bleepingcomputer.com/news/security/critical-flaw-in-evernote-add-on-exposed-sensitive-data-of-millions/