hostvps 发表于 2024-8-9 22:26:29

密码管理器1Password出现高危安全漏洞可被窃取解锁密钥

知名密码管理器 1Password 日前被发现存在高危安全漏洞,发现漏洞的参与 DEFCON 黑客大赛的安全研究人员,这枚漏洞将在本周六的演讲中被公布,研究人员提前告知 1Password 预留时间进行修复。

通常情况下密码管理器会使用主密码用来解锁数据,在 1Password 中该密码管理器使用 128 位密钥进行额外加密但必须与主密码进行配合使用,而恶意软件则可以绕过进程间的通信保护窃取密钥。

目前该漏洞仅影响 1Password for Mac 版并且新版本 8.10.38 中已经进行修复,因此建议用户检查并立即升级到最新版本确保安全。
o main content

LINUX DO
密码管理器1Password出现高危安全漏洞可被窃取解锁密钥
网络安全

Log In

真诚、友善、团结、专业,共建你我引以为荣之社区。注册须邀请。备用域:linuxdo.org
密码管理器1Password出现高危安全漏洞可被窃取解锁密钥
网络安全

nimabibi
活跃用户

1
7h
知名密码管理器 1Password 日前被发现存在高危安全漏洞,发现漏洞的参与 DEFCON 黑客大赛的安全研究人员,这枚漏洞将在本周六的演讲中被公布,研究人员提前告知 1Password 预留时间进行修复。

通常情况下密码管理器会使用主密码用来解锁数据,在 1Password 中该密码管理器使用 128 位密钥进行额外加密但必须与主密码进行配合使用,而恶意软件则可以绕过进程间的通信保护窃取密钥。

目前该漏洞仅影响 1Password for Mac 版并且新版本 8.10.38 中已经进行修复,因此建议用户检查并立即升级到最新版本确保安全。

密码管理器1Password出现高危安全漏洞可被窃取解锁密钥 请用户立即升级



CVE-2024-42219 漏洞:

在设备上运行的恶意软件进程可以绕过进程间的通信保护,以此可以窃取 1Password 保险库数据也就是各类账号和密码、获取用于登录 1Password 的派生值,特别是账户解锁密钥和 SRP-x (安全远程密码)。

1Password 证实攻击者可以利用漏洞冒充该密码管理器的浏览器扩展从而获得数据,不过漏洞暂时并未造成任何影响,现有证据表明除了安全研究人员外,没有黑客发现或利用此漏洞展开攻击。

基于安全考虑研究人员和 1Password 暂时都不会公布该漏洞的具体细节,待本周六研究人员在 DEFCON 黑客大赛上发布演讲后再公布漏洞的细节,1Password 采用的自动更新策略会在接下来两天里完成所有旧版本的升级。

1Password 在声明中表示:

研究人员发现当设备受到恶意软件攻击且黑客完全控制设备时,可能会出现安全缺陷。当恶意软件或黑客完全控制设备后,几乎无法保证安全。

我们已经解决了控制范围内的最新漏洞,在 8.10.38 客户端中修复了漏洞,感谢研究人员在本周六下午两点 (太平洋时间) 的 DEFCON 大会上发表演讲前向我们披露漏洞和合作进行修复。

我们致力于在网络安全问题上保持透明以确保用户安全,在演讲结束后我们将在官方博客上发布有关该漏洞的更多信息。

Alvis 发表于 2024-8-9 22:30:41

前段时间有佬友分享1年试用时体验了一下,发现它和BitWarden各有优劣吧,在我这里无法完全替代bw;起码bw的send和生成器功能我没有在1Password找到平替的,这下有理由说服自己用回bw了
感觉顶级apt组织手里肯定有bitwarden的0day啊,他们如果有很多windows和chromium的0day都正常。bitwarden前后端都开源的,挖漏洞的难度比闭源简单(虽然仍然是极其困难的,毕竟这么多使用者、赏金猎人和安全公司审计过代码,sca工具扫过了无数遍)
我感觉最好是像tg那样客户端开源,后端闭源,这样可以保证最佳的安全性

adc狂铁 发表于 2024-8-10 13:50:45

真可怕

Alvis 发表于 2024-8-10 15:29:41

keyang556 发表于 2024-8-10 08:34
bw不買premium可以嗎?

bw可以自建的啊
页: [1]
查看完整版本: 密码管理器1Password出现高危安全漏洞可被窃取解锁密钥