1Password, Mac uygulamasında ciddi bir güvenlik açığının olduğunu açıkladı. 1Password 8 sürümünde görülen ve henüz faydanılmadığı belirtilen bir açık, kötü niyetli kişilerin hesap kilidi açma anahtarına erişim sağlamasına imkanı veriyor. 1Password 8.10.36 sürüm ile çözüldü
1Password’ün açıklamasına göre, 8.10.36 sürümünden önceki tüm sürümler güvenlik açığına karşı savunmasız. Şirket, güvenlik açığının kullanıldığına dair hiçbir ize rastlanmadığını açıklarken, kullanıcılara uygulamaları güncellemelerini tavsiye ediyor.
Mac için 1Password uygulamasında güvenlik korumalarını etkileyen bir sorun tespit edildiği açıklandı. Bu sorun, cihazda yerel olarak çalışan kötü amaçlı bir işlemin işlem içi iletişim korumalarını atlatmasını sağlıyor. Saldırganın güvenlik açığından faydalanmak için, 1Password yüklü Mac bilgisayarda kötü amaçlı yazılım çalıştırması gerekiyor. Saldırgan eksik macOS’e özgü işlem içi doğrulamaları kötüye kullanarak 1Password tarayıcı uzantısı ve CLI gibi güvenilir 1Password entegrasyonunu taklit ediyor. Bu, kötü amaçlı yazılımın özellikle hesap kilidi açma anahtarı ve SRP-x olmak üzere 1Password’e giriş yapmak için kullanılan değerleri elde etmesine izin veriyor.
1Password, uygulamayı açtıktan beş dakika sonra her gün güncellemeleri kontrol ediyor. 1Password, kilitliyse otomatik olarak güncelleniyor, kilitli değilse yeni güncellemenin olduğunu kullanıcıya bildiriyor.
Bir yanıt bırakın