В 1Password призывают немедленно установить патч

Администрация 1Password настоятельно рекомендует пользователям Mac загрузить исправление после обнаружения ошибки, позволяющей злоумышленникам взламывать хранилища.
В 1Password призывают немедленно установить патч

В 1Password призывают немедленно установить патч. Фото: из архива компании

1Password позволяет пользователям создавать хранилища паролей в приложении, чтобы разделить свои учетные данные между работой и личной жизнью.

CVE-2024-42219 с CVSS 7.0 может быть использована злоумышленниками для кражи целых хранилищ паролей у пользователей macOS, использующих 1Password версии 8.10.36.

Угроза была обнаружена группами безопасности Robinhood, которые решили протестировать приложение 1Password на наличие уязвимостей. Она позволяет «локальным злоумышленникам изымать элементы хранилища, поскольку проверка межпроцессной связи XPC недостаточна».

Из сообщения компании:

«Чтобы воспользоваться этой проблемой, злоумышленник должен запустить вредоносное программное обеспечение на компьютере, специально нацеленное на 1Password для Mac. Злоумышленник может злоупотребить отсутствующими межпроцессными проверками, специфичными для macOS, чтобы захватить или выдать себя за доверенную интеграцию 1Password, такую ​​как расширение браузера 1Password или CLI. Это позволило бы вредоносному программному обеспечению извлечь элементы хранилища, а также получить производные значения, используемые для входа в 1Password, в частности ключ разблокировки учетной записи и «SRP-𝑥»».

Единственный способ воспользоваться этой уязвимостью — заставить пользователей установить на целевой компьютер специальную программу, но пока нет никаких доказательств того, что это было сделано в реальных условиях, утверждают разработчики менеджера паролей.

Startpack подготовил список облачных сервисов для хранения паролей. В него вошли платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме

Упомянутый сервис

1Password Менеджер паролей, помогающий создавать их в сложных и уникальных вариациях для каждого сайта, запоминать и вводить на каждом сайте одним нажатием.
Менеджер паролей, помогающий создавать их в сложных и уникальных вариациях для каждого сайта, запоминать и вводить на каждом сайте одним нажатием.

Больше интересного

Актуальное

Рассказываем об изменениях в сервисе EnvyCRM
Какие email-рассылки об акциях на самом деле работают
Показатели GitHub Enterprise Team теперь доступны в API Copilot Metrics
Ещё…