
1Passwordは、Mac版ソフトウェアに脆弱性があり、ユーザーを深刻な脅威にさらす可能性があることを発表しました。この脆弱性により、攻撃者は認証情報を盗み出すだけでなく、アカウントのロック解除キーにもアクセスできる可能性があります。
1Passwordはセキュリティ関連記事でこの脆弱性の詳細を明らかにしました。幸いなことに、この脆弱性が悪用されたという報告はまだありませんが、安全を確保するためにソフトウェアを更新することは依然として重要です。
1Password for Mac において、アプリのプラットフォームセキュリティ保護に影響を与える問題が確認されました。この問題により、ローカルマシン上で実行されている悪意のあるプロセスが、プロセス間通信の保護を回避できるようになります。
この問題は、RobinhoodのレッドチームがMac版1Passwordの独立したセキュリティ評価を実施した後、責任を持って当社に開示されました。1Passwordは、この問題が他者によって発見または悪用されたという報告を受けていません。
Mac版1Passwordの安全性を確認する方法
同社によれば、バージョン8.10.36(2024年7月)より前の1Password 8 for Macを実行しているすべてのユーザーが影響を受けるという。
幸いなことに、現在利用可能なバージョン8.10.36ではこの脆弱性が修正されています。そのため、インストールされているビルドを必ずご確認ください。
この欠陥の仕組みは次のとおりです。
この問題を悪用するには、攻撃者はMac版1Passwordを標的とした悪意のあるソフトウェアをコンピュータ上で実行する必要があります。攻撃者は、macOS特有のプロセス間検証の不足を悪用し、1Passwordブラウザ拡張機能やCLIなどの信頼できる1Password連携機能を乗っ取ったり、なりすましたりすることが可能です。
これにより、悪意のあるソフトウェアは保管庫のアイテムを盗み出すだけでなく、1Passwordへのサインインに使用される派生値、具体的にはアカウントロック解除キーと「SRP-𝑥」を取得することが可能になります。詳細は1Passwordセキュリティ設計の19ページをご覧ください。
drapmeta.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。