Skip to main content

1Password раскрыл критическую уязвимость безопасности, присутствующую в старых версиях своего популярного менеджера паролей

1Password раскрыла исправленную критическую уязвимость безопасности в своем программном обеспечении, которая может предоставить злоумышленникам доступ к ключам разблокировки и учетным данным пользователей. Вот что нужно сделать, чтобы сохранить свои данные в безопасности.

По данным компании, все версии 1Password для Mac до версии 8.10.36 (июль 2024 г.) уязвимы для эксплойта. К счастью, проблема может быть решена относительно легко путем обновления приложения 1Password до версии 8.10.36, которая уже доступна.

В настоящее время нет никаких признаков того, что эксплойт использовался в дикой природе. Проблема была обнаружена в ходе независимой оценки безопасности приложения командой Red Robinhood, после чего о ней сообщили 1Password.

Тем не менее, в ранее упомянутом сообщении о безопасности пользователям рекомендуется обновить приложение 1Password, если они все еще используют уязвимую версию, то есть любую версию 1Password для Mac до 8.10.36.

В 1Password для Mac обнаружена проблема, которая влияет на защиту безопасности платформы приложения. Эта проблема позволяет вредоносному процессу, запущенному локально на машине, обходить защиту межпроцессного взаимодействия.

Чтобы воспользоваться этой проблемой, злоумышленник должен запустить вредоносное программное обеспечение на компьютере, специально нацеленном на 1Password для Mac. Злоумышленник может злоупотребить отсутствующими межпроцессными проверками, специфичными для macOS, чтобы захватить или выдать себя за доверенную интеграцию 1Password, такую ​​как расширение браузера 1Password или CLI. Это позволит вредоносному программному обеспечению извлечь элементы хранилища, а также получить производные значения, используемые для входа в 1Password, в частности ключ разблокировки учетной записи и «SRP-x».

Как упоминалось ранее, уязвимость можно устранить, обновив приложение 1Password для Mac до версии 8.10.36, как рекомендует компания.