聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Chrome 和火狐浏览器的 Grammarly 语法检查器软件扩展中存在一个严重漏洞,导致所有2200万名用户账户(包括个人文档和记录在内)信息易遭远程攻击。
谷歌 Project Zero 团队的研究员 Tavis Ormandy 在2月2日发现,Chrome 和火狐浏览器的扩展 Grammarly 将认证口令暴露给所有站点,远程攻击者只凭4行 JavaScript 代码就能抓取这些口令。
换句话说,Grammarly 用户访问的任意站点都能窃取用户的认证口令,在未获得权限的情况下,登录用户账户并访问所有的“文档、历史、日志和其它数据”。
Ormandy 在漏洞报告中指出,“我认为这个漏洞是高危漏洞,因为它严重地违反了用户的期望。用户不会想到访问某个站点就能导致该站点获得访问用户输入其它网站的文档或数据的权限。”
Ormandy 还提供了一个 PoC 利用,解释了攻击者如何可触发这个严重漏洞,仅凭4行代码就窃取 Grammarly 用户的访问口令。
Ormandy 在上周五发现了这个漏洞,Grammarly 团队在本周一早晨将其修复。Ormandy 表示,这种响应和修复速度“非常令人印象深刻”。
Chrome 和火狐浏览器扩展的安全更新均已发布,用户无需任何操作应该就能收到自动推送的更新。
Grammarly 的一名发言人在一封邮件中表示,公司尚未发现用户遭该漏洞的攻击。另外表示将持续监控异常活动。这个安全问题可能影响存储在 Grammarly 编辑器中的文本。该漏洞并不影响 Grammarly Keyboard、Grammarly Microsoft Office 扩展或使用 Grammarly 浏览器扩展时输入网站的任何文本。该问题已修复,Grammarly 用户无需进行额外操作。
我们将继续关注更新信息。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2018/02/grammar-checking-software.html