セキュリティの更新内容

Evernote で開発するアプリケーションは、世界で約 2 億人を数えるユーザにより、それぞれの大切な仕事のためにご活用いただいています。弊社にとって、Evernote 利用時のプライバシーおよび安全性を確保することは極めて重要です。その取り組みの一環として、製品セキュリティに問題が無いことを確認するためのテストを積極的に実施し、アプリケーションの脆弱性につながる可能性のあるバグを定期的に修正しています。

このページでは、弊社で最近対応したセキュリティ関連のバグ修正を記載します。今後はセキュリティ関連のバグ修正が含まれた製品アップデートが公開されるたびに、以下のリストも更新していきます。(注: 報告対象は 2015 年 3 月 1 日を開始日とし、この日付以前のバグ修正は以下に含まれません。ご了承ください。)

セキュリティ関連の最新情報につきましては、このページを定期的にご確認いただくか、アプリケーションのリリースノートをご覧ください。

セキュリティ概要の更新内容

Date Update
April 2017

2014 年 10 月から 2017 年 4 月の変更:

Evernote サービスを Google Cloud Platform (GCP) に移行したことに伴う変更を反映させました。これには、「ネットワークセキュリティ」、「メディアの破棄と破壊」、「転送データの暗号化」、「回復力と可用性」および「物理的なセキュリティ」の項目が含まれます。

「アカウントのセキュリティ」の項目を更新し、無料版ユーザと有料版ユーザの両方が SMS を使用して 2 段階認証の確認コードを取得できることを明記しました。

「電子メールのセキュリティ」の項目を更新しました。Evernote から送信されるメールのドメインが追加されています。

「顧客アカウントへのアクセス」の内容は弊社プライバシーポリシーでより詳細に説明されているため、この項目を削除しました。

「メディアの破棄と破壊」の項目を更新し、ハードディスクに限らずあらゆる種類の記憶媒体を安全に消去および破棄している弊社の方針を明記しました。

「アクティビティログの収集」の項目を更新し、弊社がクライアント・アプリケーションからイベントデータを収集することを明記しました。

Google Cloud Platform で保存データをどのように暗号化しているかについて説明するために、新項目「保存データの暗号化」を追加しました。

「ノート内で暗号化されたテキスト」の項目を「セキュリティ強化のヒント(ユーザ用)」ページに移動し、この機能により適切な名称を使用するために項目名を「エンドツーエンド暗号化」に変更しました。また、同じ項目にある一部の文言を更新しました。

セキュリティ強化のヒントの更新内容

Date Update
April 2017

2014 年 10 月から 2017 年 4 月の変更:

「ノート内で暗号化されたテキスト」の項目を「セキュリティ概要」ページから移動し、この機能により適切な名称を使用するために項目名を「エンドツーエンド暗号化」に変更しました。また、同じ項目にある一部の文言を更新しました。

「フィッシング」の項目名を「メールの送信元が Evernote かどうかを確認する方法」に変更しました。また、弊社から送信されるメールアドレスのドメインの一覧を更新しました。

「マルウェアからの保護」の項目を更新し、Chrome および Firefox ブラウザでの設定方法の変更を反映させました。また、ClickToPlugin の提供元が Safari のサポートを終了したため、推奨ブラウザから削除しました。

Evernote for Mac

Ticket Id Description Fixed Release
MACOSNOTE-12400 Added a prompt before opening any file:// URIs. Evernote for Mac 6.6
MACOSNOTE-18729 Improved NSConnection usage with NSProtocolChecker to protect the cross application IPC channel. Evernote for Mac 6.3

Evernote for Windows

Ticket Id Description Fixed Release
WINNOTE-15870 Fixed a potential stored cross site scripting (XSS) issue on Google Drive integration. Evernote for Windows 6.4
WINNOTE-15637, WINNOTE-8970 Fixed DLL hijacking/preloading vulnerabilities on installer and other binaries. Evernote for Windows 6.3
WINNOTE-14610 Delete the local data in the original folder when the local folder configuration is changed. Evernote for Windows 6.1.2
WINNOTE-13340, WINNOTE-13475, WINNOTE-13472 Fixed several stored XSS (cross-site scripting) issues in activity view and other web views. Evernote for Windows 5.9.5
WINNOTE-8997 Added a warning to users before openning local files. Evernote for Windows 5.8.11
CE-735 Fixed a stored XSS (cross-site scripting) issue in Related Context by properly rendering the context note snippet. Evernote for Windows 5.8.4

Evernote for iOS

Ticket Id Description Fixed Release
IOSNOTE-28074 Fixed a PIN lock bypass issue. Evernote for iOS 8.2
IOSNOTE-22342 Updated the keychain items accessibility attribute in iTunes/iCloud backups. Evernote for iOS 7.14
IOSNOTE-19688, CP-3280 Fixed the WebViews that disables same-origin policy using file:// URLs. Evernote for iOS 7.7.7
IOSNOTE-19338 Upgraded vulnerable SDWebImage library to 3.7.2. Evernote for iOS 7.7.2

Evernote for Android

Ticket Id Description Fixed Release
DRDNOTE-24142 Fixed a PIN lock bruteforcing issue. Evernote for Android 7.9.9
DRDNOTE-23054 Fixed a potential stored cross site scripting (XSS) issue on Google Drive integration. Evernote for Android 7.9.5
DRDNOTE-20794,DRDNOTE-22660 Fixed a PIN lock bypass issue. Evernote for Android 7.9.4
DRDNOTE-20842 Fixed an issue that some WebView could ignore SSL certificate errors in debug/internal builds. Evernote for Android 7.6
DRDNOTE-9500, DRDNOTE-11183 Move notes stored in SD card to internal memory. Evernote for Android 7.0.7

Evernote for BlackBerry

Ticket Id Description Fixed Release
EFB-1836 Fixed an issue that PIN lock can be bypassed. Evernote for BlackBerry 5.6.2

Web クリッパー 6 for Chrome

Ticket Id Description Fixed Release
CC-2561 Fixed a potential cross site scripting (XSS) issue while clipping from a malicious site. Web Clipper 6 for Chrome 6.9.2
CC-1729 Fixed a potential HTML injection issue through the extension's login page. Web Clipper 6 for Chrome 6.7
CC-1693 Fixed a potential stored cross site scripting (XSS) issue in releated search results. Web Clipper 6 for Chrome 6.6

Web クリッパー 6 for Safari

Ticket Id Description Fixed Release
SAFARICLIP-992 Fixed a potential stored cross site scripting (XSS) issue in releated search results. Web Clipper 6 for Safari 6.7

Penultimate for iOS

Ticket Id Description Fixed Release
IOSPENULT-4056 Updated adonit SDK to fetch all web content through HTTPS. Penultimate for iPad 6.2

Evernote Food for iOS

Ticket Id Description Fixed Release
IOSFOOD-4320 Upgraded vulnerable SDWebImage library to 3.7.2. Evernote Food for iOS 2.5.1
  We have ended support for this product and will not be providing any future security updates. September 30, 2015

Skitch for iOS

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016

Skitch for Android

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016

Skitch for Windows Touch

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016

Skitch for Windows

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016

Evernote Clearly

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016

Evernote for Pebble

Ticket Id Description Fixed Release
  We have ended support for this product and will not be providing any future security updates. January 22, 2016