搜索
缓存时间16 现在时间16 缓存数据 所有关系变淡的原因,一个不说,一个不问,或一个问的尴尬,一个答的敷衍
查看: 475|回复: 2

1Password 8的Mac版本受CVE-2024-42219影响

[复制链接]
发表于 2024-8-10 20:33:11 | 显示全部楼层 |阅读模式

马上注册,免受广告困扰,轻松兑换eSIM!

您需要 登录 才可以下载或查看,没有账号?注册

×

关于此问题

1Password for Mac 中发现了一个问题,该问题会影响该应用的平台安全保护。此问题可使在机器上本地运行的恶意进程绕过进程间通信保护。

在 Robinhood 红队选择对 1Password for Mac 进行独立安全评估后,他们负责任地向我们披露了这个问题。1Password 没有收到任何有关此问题被其他人发现或利用的报告。

谁受到影响

此问题影响 1Password 8 for Mac 8.10.36(2024 年 7 月)之前的所有版本。此问题已在 1Password for Mac 8.10.36(2024 年 7 月)版本中得到解决。

建议的操作

如果您正在使用受影响的 1Password for Mac 版本,请更新到最新版本

影响和可利用性

要利用此问题,攻击者必须在专门针对 Mac 版 1Password 的计算机上运行恶意软件。攻击者能够滥用缺失的 macOS 特定进程间验证来劫持或冒充受信任的 1Password 集成,例如 1Password 浏览器扩展或 CLI。

这将允许恶意软件窃取保险库项目,并获取用于登录 1Password 的派生值,特别是帐户解锁密钥和“SRP-𝑥”。 更多信息请参阅1Password 安全设计第 19 页。

评论

在 macOS 上,1Password 使用系统原生 XPC 接口进行进程间通信。XPC 允许强制执行称为强化运行时的额外保护,这允许强制与您通信的进程具有防止进程篡改的额外保护。这可以防止某些本地攻击。

感谢 Robinhood 的红队负责任地向我们披露此问题并让我们保护我们的客户。

https://support.1password.com/kb/202408a/

爱生活,爱奶昔~
发表于 2024-8-10 20:34:34 | 显示全部楼层
自从买断版 1P7 不支持浏览器插件后, 我就换到了自建 bitwarden 上
而且我 iOS 上的 1P 也是当年的限免买断版, 只能说浏览器自动填充这个功能对于我太重要了
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

楼主| 发表于 2024-8-10 21:17:03 | 显示全部楼层
还是得自建,数据在别人手里不安全
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

Powered by Nyarime. Licensed

GMT+8, 2024-12-23 16:10 , Processed in 0.019716 second(s), 10 queries , Gzip On, Redis On
发帖际遇 ·手机版 ·小黑屋 ·RSS ·奶昔网

登录切换风格
快速回复 返回顶部 返回列表