Компания AgileBits, разработчик популярного менеджера паролей 1Password, подтвердила наличие критической уязвимости безопасности, позволяющей злоумышленникам получить доступ к элементам хранилища паролей и ключам разблокировки учётных записей пользователей macOS.
Уязвимость CVE-2024-42219 (оценка CVSS: 7.0) позволяет вредоносному процессу, работающему локально на устройстве, обойти межпроцессную защиту macOS и эксфильтрировать элементы хранилища 1Password, а также получить ключ разблокировки учётной записи и значения SRP, используемые для входа в сервис. SRP (Secure Remote Password) – один из уровней защиты, обеспечивающих доступ к хранилищу 1Password.
Однако сильно переживать не стоит, ведь SCR является лишь частью многоуровневой системы безопасности 1Password. В сервисе также предусмотрен дополнительный 128-битный секретный ключ, который создаётся на устройстве пользователя и не известен никому, включая сотрудников AgileBits.
Представитель 1Password отметил, что уязвимость была обнаружена командой безопасности Robinhood Red Team в условиях полного контроля над устройством пользователя. AgileBits исправила уязвимость в версии 1Password 8.10.38. Компания поблагодарила Robinhood Red Team за сотрудничество и пообещала опубликовать дополнительные подробности в своём блоге после выступления команды на конференции DEFCON.
Уязвимость CVE-2024-42219 затрагивает всех пользователей восьмой версии 1Password для macOS, которые ещё не обновились до 8.10.36. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя запустить вредоносное ПО на своём компьютере.
AgileBits подтвердила, что, насколько ей известно, уязвимость не была обнаружена и использована ещё кем-либо, кроме исследователей Robinhood Red Team. По крайней мере, компания пока не получала никаких сообщений, доказывающих обратное.
Всем пользователям 1Password для macOS настоятельно рекомендуется обновить свои приложения до последней версии. Как уже было отмечено выше, уязвимость была исправлена в версии 8.10.36.
К счастью, 1Password автоматически проверяет наличие обновлений через пять минут после запуска и делает это ежедневно. Если приложение разблокировано, пользователи получат уведомление о доступном обновлении. Если же приложение заблокировано, оно должно обновиться автоматически.