1Password сообщил, что его программное обеспечение для Mac имеет уязвимость, которая подвергает пользователей потенциально серьезной угрозе. Помимо того, что злоумышленники могут скомпрометировать учетные данные, эта уязвимость может предоставить злоумышленникам доступ к ключу разблокировки вашего аккаунта.
1Password раскрыл подробности уязвимости в сообщении о безопасности. К счастью, об уязвимости не сообщалось как об эксплуатируемой в дикой природе – но все равно важно обновлять программное обеспечение, чтобы быть уверенным в своей безопасности.
В 1Password для Mac обнаружена проблема, которая влияет на защиту безопасности платформы приложения. Эта проблема позволяет вредоносному процессу, запущенному локально на машине, обходить защиту межпроцессного взаимодействия.
Эта проблема была ответственно раскрыта нам командой Robinhood Red Team после того, как они решили провести независимую оценку безопасности 1Password для Mac. 1Password не получала никаких сообщений о том, что эта проблема была обнаружена или использована кем-либо еще.
Как убедиться в безопасности 1Password для Mac
Компания заявляет, что уязвимости подвержены все пользователи 1Password 8 для Mac до версии 8.10.36 (июль 2024 г.).
К счастью, версия 8.10.36, доступная сейчас, исправляет уязвимость. Поэтому обязательно проверьте, какая сборка у вас установлена.
Вот как работает этот недостаток:
Чтобы воспользоваться этой проблемой, злоумышленник должен запустить вредоносное программное обеспечение на компьютере, специально нацеленное на 1Password для Mac. Злоумышленник может злоупотребить отсутствием специфичных для macOS межпроцессных проверок, чтобы захватить или выдать себя за доверенную интеграцию 1Password, такую как расширение браузера 1Password или CLI.
Это позволило бы вредоносному программному обеспечению извлечь элементы хранилища, а также получить производные значения, используемые для входа в 1Password, в частности ключ разблокировки учетной записи и «SRP-𝑥». Узнайте больше на странице 19 проекта безопасности 1Password.