Grammatisk udvidelsesfejl kunne have udsat data for ondsindede aktører
1 min. Læs
Udgivet den
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Grammarly tidligere denne weekend blev fundet at lide af en fejl, der eksponerede brugerdata til enhver hjemmeside, den blev brugt på. Dette blev gjort ved at eksponere dets autorisationstoken til webstederne, hvilket betyder, at ethvert websted, som en Grammarly-bruger brugte udvidelsen på, i teorien kunne logge ind på brugerens konto og få adgang til deres kontodata og indtastede dokumenter (hvis nogen).
Det blev rapporteret af Googles projekt nul hold, og afsløres først, efter at Grammarly-holdet havde mulighed for at skubbe opdateringer ud, der løser fejlen.
Sårbarhed i Grammarly-udvidelse løst (20M brugere), brugere bør automatisk opdateres til en fast version. Godkendelsestokens var tilgængelige for websteder, hvilket gjorde det muligt for ethvert websted at logge ind på din konto og læse alle dine dokumenter. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Februar 5, 2018
Udvidelserne til Chrome og Firefox blev hurtigt rettet, mens Edge ikke led af fejlen i første omgang.
I en erklæring til Gizmodo, bekræftede en Grammarly-talsmand, "Feglen er rettet, og der er ingen handling påkrævet af Grammarly-brugere." Der var ingen tilfælde af dårlige aktører, der brugte sårbarheden til at få adgang til brugerdata.