zezhiya 发表于 2024-8-10 20:33:11

1Password 8的Mac版本受CVE-2024-42219影响

## 关于此问题

1Password for Mac 中发现了一个问题,该问题会影响该应用的平台安全保护。此问题可使在机器上本地运行的恶意进程绕过进程间通信保护。

在 Robinhood 红队选择对 1Password for Mac 进行独立安全评估后,他们负责任地向我们披露了这个问题。1Password 没有收到任何有关此问题被其他人发现或利用的报告。

## 谁受到影响

此问题影响 1Password 8 for Mac 8.10.36(2024 年 7 月)之前的所有版本。此问题已在 1Password for Mac 8.10.36(2024 年 7 月)版本中得到解决。

## 建议的操作

如果您正在使用受影响的 1Password for Mac 版本,[请更新到最新版本](https://support.1password.com/update-1password/)。

## 影响和可利用性

要利用此问题,攻击者必须在专门针对 Mac 版 1Password 的计算机上运行恶意软件。攻击者能够滥用缺失的 macOS 特定进程间验证来劫持或冒充受信任的 1Password 集成,例如 1Password 浏览器扩展或 CLI。

这将允许恶意软件窃取保险库项目,并获取用于登录 1Password 的派生值,特别是帐户解锁密钥和“SRP-𝑥”。 更多信息请参阅(https://1passwordstatic.com/files/security/1password-white-paper.pdf)

## 评论

在 macOS 上,1Password 使用系统原生 XPC 接口进行进程间通信。XPC 允许强制执行称为强化运行时的额外保护,这允许强制与您通信的进程具有防止进程篡改的额外保护。这可以防止某些本地攻击。

感谢 Robinhood 的红队负责任地向我们披露此问题并让我们保护我们的客户。

https://support.1password.com/kb/202408a/

Alvis 发表于 2024-8-10 20:34:34

自从买断版 1P7 不支持浏览器插件后, 我就换到了自建 bitwarden 上
而且我 iOS 上的 1P 也是当年的限免买断版, 只能说浏览器自动填充这个功能对于我太重要了{:5_127:}

zezhiya 发表于 2024-8-10 21:17:03

还是得自建,数据在别人手里不安全
页: [1]
查看完整版本: 1Password 8的Mac版本受CVE-2024-42219影响