AgileBits, popüler 1Password şifre yöneticisinin macOS sürümünü etkileyen iki güvenlik açığının (CVE-2024-42219, CVE-2024-42218), kötü amaçlı yazılımların yazılımın kasalarında saklanan sırları çalmasına ve hesap kilidini açma anahtarını ele geçirmesine izin verebileceğini doğruladı.
Robinhood Red Team tarafından Mac için 1Password’ün güvenlik değerlendirmesi sırasında keşfedilen ve daha sonra yazılımın üreticilerine özel olarak bildirilen güvenlik açıkları, yazılımın iki ardışık sürümünde kapatıldı: v8.10.36 (9 Temmuz’da yayınlandı) ve v8.10.38 (6 Ağustos’ta yayınlandı).
AgileBits, bu sorunların başkaları tarafından keşfedildiğine veya istismar edildiğine dair herhangi bir rapor almadıklarını söylüyor.
Güvenlik açıkları (CVE-2024-42219, CVE-2024-42218)
CVE-2024-42219, bir makinede yerel olarak çalışan kötü amaçlı bir işlemin (yani kötü amaçlı yazılımın) işlemler arası iletişim korumalarını atlatmasına olanak tanır.
Şirket, “Bir saldırgan, 1Password tarayıcı uzantısı veya CLI gibi güvenilir bir 1Password entegrasyonunu ele geçirmek veya taklit etmek için eksik macOS’a özgü işlem içi doğrulamaları kötüye kullanabilir” diyor.
CVE-2024-42218, saldırganların Mac için 1Password uygulamasının eski sürümlerini kullanarak macOS’a özgü güvenlik mekanizmalarını aşmalarına olanak tanıyabilir.
“Sorunu istismar etmek için bir saldırganın, özellikle Mac için 1Password’ü hedef alan bir bilgisayarda kötü amaçlı yazılım çalıştırması gerekir. Bir saldırgan, bir kullanıcının bilgisayarına eski bir 1Password sürümü yükleyebilirse, macOS Keychain’de depolanan 1Password ile ilişkili sırlara erişebilir,” uyarısı not ediliyor.
“Bu sorun, 3. taraf bağımlılıklarında güvenlik açıkları içeren ve 1Password’ün tüm modern sürümlerinde etkinleştirilen güvenlik güçlendirme önlemlerinin eksik olduğu güncel olmayan 1Password sürümlerinden yararlanıyor. Bir saldırgan, uygulamaların daha yeni sürümlerine saldırı oluşturmak için bu eski sürümlerin varlığını kullanabilir.”
Her iki durumda da, kusurun istismarı kötü amaçlı yazılımın “kasa öğelerini sızdırmasına ve 1Password’da oturum açmak için kullanılan türetilmiş değerleri, özellikle de hesap kilidi açma anahtarını elde etmesine” olanak tanıyacaktır. [AUK] ve ‘SRP-‘”.
Güvenlik açıkları yalnızca Mac için 1Password’ü etkiliyor.
“Güncellemeleri otomatik olarak yükle” seçeneği açık olmayan kullanıcıların en kısa sürede en son sürüme yükseltmeleri önerilir. Uygulamaları zaten yükseltilmiş olan veya başlattıklarında bunu yapmaları istenecek olanların uygulamaları zaten yükseltilmiştir.
Daha fazla ayrıntı yakında yayınlanacak
Söz konusu güvenlik açıklarının varlığı, ilgili güvenlik uyarılarının yayınlandığı ve yazılımın sürüm notlarının bulunduğu sayfanın güncellendiği bu haftaya kadar gizli tutuldu.
Robinhood Red ekibinin bu cumartesi günü DEF CON’da araştırmaları hakkında konuşması planlanıyor ve kusurlar hakkında daha fazla ayrıntı ondan sonra yayınlanacak.