Pihak Evernote telah segera membaiki kelemahan extension tersebut.

Penyelidik keselamatan dari firma Guardio telah melaporkan bahawa kelemahan ciri keselamatan pada 'Evernote Web Clipper Chrome Extension' telah menyebabkan data privasi penggunanya berpotensi diserang penggodam menerusi servis atas talian dari pihak ketiga.

Isu keselamatan ini berkait dengan istilah yang dinamakan sebagai  Universal Cross-site Scripting (UXSS atau Universal XSS). Kecacatan pada pengkodan extension tersebut telah membolehkan penggodam melepasi polisi asal pelayar sekaligus membenarkan penggodam menjalankan kod asing di dalamnya.

Selepas ciri keselamatan site isolation yang ada pada Chrome dilepasi, data akaun pengguna dari laman sesawang yang lain tidak lagi dilindungi menyebabkan pihak lain boleh mengakses data sensitif pengguna.

Ini termasuklah data perbankan, email, perbualan tertutup di media sosial dan lain-lain. Pihak Guardio mendemonstrasikan Proof-of-Concept (PoC) bagi menunjukkan potensi kelemahan ciri keselamatan itu menerusi video di laman YouTube.

https://www.youtube.com/watch?time_continue=14&v=_QTkS7N49EQ

 

Sususlan daripada penemuan itu, pihak Guardio telah menghubungi pembangun Evernote bagi melaporkan penemuan mereka. Pihak Evernote dengan segera telah bertindak mengemaskini extension tersebut bagi menampal kecacatan keselamatan Evernote Web Clipper Chrome Extension.

Jadi, bagi anda yang ada menggunakan extension ini, pastikan anda menggunakan versi 7.11.1 atau terbarunya. Daripada semakan yang dibuat di Chrome Web Store didapati, Evernote Web Clipper Chrome Extension kini digunakan oleh lebih daripada 4.5 juta pengguna di seluruh dunia.

Sumber: Bleeping Computer