在一次独立的安全评估中,Red Robinhood团队发现了1Password软件中存在的严重安全漏洞。该漏洞可能导致攻击者获取用户的解锁密钥和凭证。以下是保护数据安全的方法。
1Password在安全公告中详细说明了此漏洞的细节及受影响的应用版本。据公司透露,所有版本的1Password for Mac(在8.10.36版本之前)均可能受到攻击。幸运的是,通过将应用更新至8.10.36版本,即可轻松解决此问题,而此版本已发布。
目前尚未发现该漏洞在野外被利用的迹象。该问题是在Red Robinhood团队对应用进行独立安全评估后被发现,并报告给了1Password。
尽管如此,公告仍建议使用受影响版本(即所有在8.10.36之前的1Password for Mac版本)的用户更新其1Password应用。
此外,1Password还详细解释了漏洞的工作原理:
在Mac版1Password中发现了一个影响应用平台安全保护的问题。此问题使本地运行的恶意进程能够绕过进程间通信保护。要利用此问题,攻击者必须在特定针对1Password for Mac的计算机上运行恶意软件。攻击者可以通过滥用macOS特有的进程间验证来劫持或冒充信任的1Password集成,如1Password浏览器扩展或CLI。这将允许恶意软件窃取保险库项目,以及获取用于登录1Password的衍生值,特别是账户解锁密钥和“SRP-x”。
正如之前所述,通过将Mac版1Password应用更新至8.10.36版本,即可修补此漏洞,这是公司推荐的做法。
Post by Jack
