Beveiligingslek in 1Password 8 voor Mac

Een kwetsbaarheid in 1Password 8 voor Mac stelt aanvallers in staat wachtwoorden te stelen. Snel updaten mitigeert het risico.

1Password 8 voor Mac bevat een grote kwetsbaarheid, die hackers in staat stelt om wachtwoorden te stelen. De kwetsbaarheid, aangeduid als CVE-2024-42219, werd ontdekt door het Red Team van Robinhood tijdens een onafhankelijke beveiligingsbeoordeling van 1Password voor Mac.

De fout maakt het mogelijk voor lokaal draaiende malafide software om beveiligingsmaatregelen binnen macOS. Zo kunnen hackers ontbrekende macOS-specifieke validaties bij inter-process communicatie omzeilen. Hierdoor kan een aanvaller zich voordoen als een vertrouwde 1Password-integratie, zoals de browserextensie of CLI.

De gevolgen hiervan zijn potentieel ernstig: een aanvaller kan gevoelige gegevens uit de kluizen van gebruikers stelen, evenals de afgeleide waarden die nodig zijn om in te loggen bij 1Password, zoals de ontgrendelingssleutel en de SRP-x-waarde.

Snel updaten

Alle versies van 1Password 8 voor Mac die vóór versie 8.10.36 zijn uitgebracht, zijn vatbaar voor deze kwetsbaarheid. Gebruikers van deze versies worden dringend geadviseerd om de software bij te werken naar de meest recente versie om het probleem te verhelpen. Er zijn geen meldingen ontvangen dat de kwetsbaarheid is ontdekt of misbruikt door derden.

1Password maakt gebruik van de XPC-interface van macOS voor inter-process communicatie. Deze interface biedt extra bescherming tegen procesmanipulatie, maar in dit geval werden de noodzakelijke extra beveiligingen niet correct afgedwongen. Hierdoor werd deze kwetsbaarheid mogelijk.

Het uitvoeren van de aanbevolen update zal de bug verhelpen en de beveiliging van de applicatie verbeteren.

Hackers kregen toegang tot ontsleutelde kluis via thuiscomputer van LastPass-medewerker

Beveiligingsproblemen die wachtwoordkluizen treffen, kunnen een erg grote impact hebben. De bug bij 1Password nu heeft gelukkig geen grote impact, en werd ontdekt voor er misbruik kon plaats vinden. Concurrenten van 1Password hadden al minder geluk. Denk maar aan LastPass, waar hackers wel data van klanten konden buitmaken.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Beveiligingslek in 1Password 8 voor Mac

Snel updaten

Hackers kregen toegang tot ontsleutelde kluis via thuiscomputer van LastPass-medewerker

gerelateerd nieuws

nieuwsbrief