Grammatikerweiterungsfehler könnte Daten böswilligen Akteuren zugänglich gemacht haben
1 Minute. lesen
Veröffentlicht am
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
An diesem Wochenende wurde festgestellt, dass Grammatik unter einem Fehler leidet, der Benutzerdaten für jede Website offenlegt, auf der sie verwendet wird. Dies geschah, indem sein Autorisierungstoken den Websites offengelegt wurde, was bedeutet, dass sich jede Website, auf der ein Grammarly-Benutzer die Erweiterung verwendet hat, theoretisch in das Benutzerkonto einloggen und Zugriff auf seine Kontodaten und getippten Dokumente (falls vorhanden) erhalten konnte.
Es wurde gemeldet von Googles Project Zero Team und wurde erst offengelegt, nachdem das Grammarly-Team die Möglichkeit hatte, Updates zur Behebung des Fehlers herauszubringen.
Schwachstelle in Grammarly-Erweiterung behoben (20 Millionen Benutzer), Benutzer sollten automatisch auf eine korrigierte Version aktualisiert werden. Auth-Token waren für Websites zugänglich, sodass sich jede Website bei Ihrem Konto anmelden und alle Ihre Dokumente lesen konnte. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) 5. Februar 2018
Die Erweiterungen für Chrome und Firefox wurden schnell gepatcht, während Edge gar nicht erst unter dem Fehler litt.
In einer Erklärung zu Gizmodo, bestätigte ein Grammarly-Sprecher: „Der Fehler ist behoben, und Grammarly-Benutzer müssen nichts unternehmen.“ Es gab keine Fälle von Angreifern, die die Schwachstelle ausnutzten, um auf Benutzerdaten zuzugreifen.