1Passwordは1Password 8 for Macに深刻な脆弱性があることを発表した。この脆弱性を悪用されると、悪意のあるプロセスによってユーザー機密データが危険にさらされる可能性がある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
1Passwordは2024年8月6日(現地時間)、同社のプロダクトである「1Password 8 for Mac」に深刻な脆弱(ぜいじゃく)性があることを発表した。この脆弱性が悪用された場合、悪意のあるプロセスが「macOS」のプロセス間通信保護を回避してユーザーの機密データを危険にさらす可能性がある。
1Password for Macでは、macOSのプロセス間通信にシステムネイティブのXPCインタフェースが使用されている。このインタフェースを使用することでプロセス改ざんに対する防御が強化されている。しかしこの保護機能が不十分であることが判明し、特定のローカル攻撃が可能になる脆弱性が発見されている。
特に悪意のあるソフトウェアが1Password for Macを標的にすることで、1Password Webブラウザ拡張機能やCLIなどの信頼できる1Password統合を乗っ取ったり、なりすましたりすることが可能になるとされている。攻撃者は1Passwordに保存された情報を盗むだけでなく、アカウントのロック解除キーや「SRP-x」といった機密データも窃取されてしまう可能性がある。
脆弱性の影響を受けるバージョンは以下の通りだ。。
脆弱性が修正されたバージョンは以下の通りだ。
発見された脆弱性は「CVE-2024-42219」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は7.0とされており、深刻度「重要」(High)と評価されている。脆弱性が存在するバージョンを使っている場合、公開された情報を確認するとともに速やかに問題が修正されたバージョンにアップデートすることが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.