Een kwetsbaarheid in 1Password 8 voor Mac stelt aanvallers in staat wachtwoorden te stelen. Snel updaten mitigeert het risico.
1Password 8 voor Mac bevat een grote kwetsbaarheid, die hackers in staat stelt om wachtwoorden te stelen. De kwetsbaarheid, aangeduid als CVE-2024-42219, werd ontdekt door het Red Team van Robinhood tijdens een onafhankelijke beveiligingsbeoordeling van 1Password voor Mac.
De fout maakt het mogelijk voor lokaal draaiende malafide software om beveiligingsmaatregelen binnen macOS. Zo kunnen hackers ontbrekende macOS-specifieke validaties bij inter-process communicatie omzeilen. Hierdoor kan een aanvaller zich voordoen als een vertrouwde 1Password-integratie, zoals de browserextensie of CLI.
De gevolgen hiervan zijn potentieel ernstig: een aanvaller kan gevoelige gegevens uit de kluizen van gebruikers stelen, evenals de afgeleide waarden die nodig zijn om in te loggen bij 1Password, zoals de ontgrendelingssleutel en de SRP-x-waarde.
Snel updaten
Alle versies van 1Password 8 voor Mac die vóór versie 8.10.36 zijn uitgebracht, zijn vatbaar voor deze kwetsbaarheid. Gebruikers van deze versies worden dringend geadviseerd om de software bij te werken naar de meest recente versie om het probleem te verhelpen. Er zijn geen meldingen ontvangen dat de kwetsbaarheid is ontdekt of misbruikt door derden.
1Password maakt gebruik van de XPC-interface van macOS voor inter-process communicatie. Deze interface biedt extra bescherming tegen procesmanipulatie, maar in dit geval werden de noodzakelijke extra beveiligingen niet correct afgedwongen. Hierdoor werd deze kwetsbaarheid mogelijk.
Het uitvoeren van de aanbevolen update zal de bug verhelpen en de beveiliging van de applicatie verbeteren.
lees ook
Hackers kregen toegang tot ontsleutelde kluis via thuiscomputer van LastPass-medewerker
Beveiligingsproblemen die wachtwoordkluizen treffen, kunnen een erg grote impact hebben. De bug bij 1Password nu heeft gelukkig geen grote impact, en werd ontdekt voor er misbruik kon plaats vinden. Concurrenten van 1Password hadden al minder geluk. Denk maar aan LastPass, waar hackers wel data van klanten konden buitmaken.