| 8 августа 2024 г. — 11:19 PT
1Password сообщил, что его программное обеспечение для Mac имеет уязвимость, которая подвергает пользователей потенциально серьезной угрозе. Помимо возможности компрометации учетных данных, эта ошибка может предоставить злоумышленникам доступ к вашему ключу разблокировки учетной записи.
1Password раскрыл детали уязвимости в специальном сообщении. К счастью, об эксплуатации этой уязвимости в реальных условиях не сообщалось, но все же важно обновить ваше программное обеспечение, чтобы обеспечить безопасность.
В 1Password для Mac выявлена проблема, влияющая на средства защиты платформы приложения. Эта проблема позволяет вредоносному процессу, запущенному локально на машине, обходить средства защиты межпроцессного взаимодействия.
Эта проблема была ответственно раскрыта нам командой Robinhood’s Red Team после того, как они решили провести независимую оценку безопасности 1Password для Mac. 1Password не получал никаких сообщений об обнаружении или эксплуатации этой проблемы кем-либо еще.
Как убедиться, что 1Password для Mac в безопасности
Компания заявляет, что уязвимость затрагивает всех пользователей, работающих на 1Password 8 для Mac до версии 8.10.36 (июль 2024 г.).
К счастью, версия 8.10.36, доступная сейчас, исправляет уязвимость. Поэтому обязательно проверьте, какая сборка установлена у вас.
Вот как работает эта ошибка:
Для эксплуатации данной проблемы злоумышленнику необходимо запустить вредоносное программное обеспечение на компьютере, конкретно нацеленное на 1Password для Mac. Злоумышленник может использовать отсутствующие специфичные для macOS проверки межпроцессного взаимодействия для перехвата или подмены доверенной интеграции 1Password, такой как браузерное расширение 1Password или CLI.
Это позволило бы вредоносному программному обеспечению извлекать элементы хранилища, а также получать производные значения, используемые для входа в 1Password, в частности, ключ разблокировки учетной записи и «SRP-𝑥». Узнайте больше на странице 19 документа 1Password Security Design.