1Password, Mac kullanıcılarını kasalarına bilgisayar korsanlarının erişmesini önlemek için yama yapmaları konusunda uyardı. 1Password, saldırganların tüm parola kasalarını çalmasına olanak tanıyabilecek bir güvenlik açığına ilişkin endişeler nedeniyle macOS kullanıcılarını yama yapmaya çağırdı.
Şifre yöneticisi şirketi 1Password, kimlik bilgisi depolama yazılımının MacOS sürümünü etkileyen bir kusurla ilgili bir güvenlik duyurusu yayınladı. Piyasadaki en popüler parola yöneticilerinden biri olan ve 2022’de 15 milyondan fazla kullanıcısı olan ve yazılımı kullanan yaklaşık 150.000 işletme bulunan güvenlik açığı, on milyonlarca kullanıcının parola kasalarını riske atıyor.
1Password Mac kullanıcılarının güvenliğine dikkat çekti
Kasalar, 1Password tarafından kullanıcıların hem kişisel hem de profesyonel hesaplarında kullandıkları kimlik bilgilerini yönetmelerine olanak sağlamak amacıyla tanıtılan bir sistem. Bu kusur başarılı bir şekilde istismar edilirse, bilgisayar korsanları yazılımın güvenlik açığı bulunan sürümlerini çalıştıran MacOS kullanıcılarının tüm kasalarını çalmak için bu açığı kullanabilir.
CVE-2024-42219, saldırganların makinede yerel olarak kötü amaçlı yazılım çalıştırarak ve kasadaki zamanları sızdırarak işlemler arası iletişim korumalarını aşmalarına olanak tanıyor. 1Password’ün tavsiyesinde, “Bir saldırgan, 1Password tarayıcı uzantısı veya CLI gibi güvenilir bir 1Password entegrasyonunu ele geçirmek veya taklit etmek için eksik macOS’a özgü işlem içi doğrulamaları kötüye kullanabilir” ifadesi yer aldı. Açıklamada: “Bu, kötü amaçlı yazılımın kasadaki öğeleri sızdırmasına ve 1Password’da oturum açmak için kullanılan türetilmiş değerleri, özellikle hesap kilidi açma anahtarını ve ‘SRP-𝑥’ değerini elde etmesine olanak tanıyor” ifadelerine yer verildi.
Sorun, Mac için 8.10.36’dan önceki tüm 1Password 8 sürümlerini etkiliyor ve 1Password’un arkasındaki şirket olan AgileBits tarafından yayınlanan sonraki tüm sürümlerde çözüldü. Güvenlik açığı, Robinhood güvenlik araştırmacıları tarafından 1Password yazılımının bağımsız bir güvenlik değerlendirmesini gerçekleştirip bulgularını Las Vegas’ta düzenlenen DEF CON 2024’te sunduktan sonra keşfedildi. 1Password , Ağustos 2024 tarihli güvenlik güncellemesinde , kusurları keşfetmedeki çalışmaları için Robinhood’a teşekkür etti ve birbirine bağlı bir teknoloji ekosistemini güvence altına almak için iş birliğinin şart olduğunu ekledi.
