マルコ・ジヴコビッチ
· 1分で読めます
1Passwordは、人気のパスワードマネージャーの古いバージョンに存在する重大なセキュリティ上の欠陥を明らかにした。
1Passwordは、同社のソフトウェアに重大なセキュリティ欠陥があることを明らかにしました。この欠陥は既に修正されており、攻撃者がユーザーのロック解除キーや認証情報にアクセスできる可能性があります。データを安全に保つための対策をご紹介します。
1Password はセキュリティ関連の投稿で、脆弱性の正確な詳細と、どのアプリケーションバージョンが攻撃を受ける可能性があるかを明らかにしました。
同社によると、1Password for Macのバージョン8.10.36(2024年7月)より前のすべてのバージョンがこの脆弱性に対して脆弱です。幸いなことに、この問題は1Passwordアプリケーションをすでに提供されているバージョン8.10.36にアップデートすることで比較的簡単に解決できます。
現時点では、このエクスプロイトが実際に使用されたという兆候はありません。この問題は、Red Robinhoodチームによるアプリの独立したセキュリティ評価中に発見され、その後1Passwordに報告されました。
それでも、前述のセキュリティ投稿では、影響を受けるバージョン(8.10.36 より前のバージョンの 1Password for Mac)をまだ使用している場合は、1Password アプリを更新することを推奨しています。
1Password は、このエクスプロイトの仕組みについても詳しく説明しています。
1Password for Mac において、アプリのプラットフォームセキュリティ保護に影響を与える問題が確認されました。この問題により、ローカルマシン上で実行されている悪意のあるプロセスが、プロセス間通信の保護を回避できるようになります。
この問題を悪用するには、攻撃者はMac版1Passwordを標的とした悪意のあるソフトウェアをコンピュータ上で実行する必要があります。攻撃者は、macOS固有のプロセス間検証の欠如を悪用し、1Passwordブラウザ拡張機能やCLIなどの信頼できる1Password連携機能を乗っ取ったり、なりすましたりすることが可能です。これにより、悪意のあるソフトウェアはVaultアイテムを盗み出すだけでなく、1Passwordへのサインインに使用される派生値、具体的にはアカウントロック解除キーと「SRP-x」を入手することが可能になります。
前述のように、この脆弱性は、同社が推奨しているように、1Password for Mac アプリケーションをバージョン 8.10.36 にアップデートすることで修正できます。
