Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

1Password признала наличие бреши в своей безопасности

09/08/24

0_PSi0DuB3FVn1VCM8

Компания AgileBits, разработчик популярного менеджера паролей 1Password, подтвердила наличие критической уязвимости безопасности, позволяющей злоумышленникам получить доступ к элементам хранилища паролей и ключам разблокировки учётных записей пользователей macOS, пишет Securitylab.

Уязвимость CVE-2024-42219 (оценка CVSS: 7.0) позволяет вредоносному процессу, работающему локально на устройстве, обойти межпроцессную защиту macOS и эксфильтрировать элементы хранилища 1Password, а также получить ключ разблокировки учётной записи и значения SRP, используемые для входа в сервис. SRP (Secure Remote Password) — один из уровней защиты, обеспечивающих доступ к хранилищу 1Password.

Однако сильно переживать не стоит, ведь SCR является лишь частью многоуровневой системы безопасности 1Password. В сервисе также предусмотрен дополнительный 128-битный секретный ключ, который создаётся на устройстве пользователя и не известен никому, включая сотрудников AgileBits.

Представитель 1Password отметил, что уязвимость была обнаружена командой безопасности Robinhood Red Team в условиях полного контроля над устройством пользователя. AgileBits устранила брешь в версии 1Password 8.10.38. Компания поблагодарила Robinhood Red Team за сотрудничество и пообещала опубликовать дополнительные подробности в своём блоге после выступления команды на конференции DEFCON.

CVE-2024-42219 затрагивает всех пользователей восьмой версии 1Password для macOS, которые ещё не обновились до 8.10.36. Для успешной эксплуатации злоумышленнику необходимо убедить пользователя запустить вредоносное ПО на своём компьютере.

AgileBits подтвердила, что, насколько ей известно, уязвимость не была обнаружена и использована ещё кем-либо, кроме исследователей Robinhood Red Team. По крайней мере, компания пока не получала никаких сообщений, доказывающих обратное.

Всем пользователям 1Password для macOS настоятельно рекомендуется обновить свои приложения до последней версии. Как уже было отмечено выше, уязвимость была исправлена в версии 8.10.36.

Темы:УгрозыпаролиAgileBits
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...