Kielioppilaajennusvirhe olisi voinut paljastaa tiedot haitallisille toimijoille
1 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Kieliopillisesti aiemmin tänä viikonloppuna havaittiin kärsivän bugista, joka paljasti käyttäjätiedot mille tahansa verkkosivustolle, jolla sitä käytettiin. Tämä tehtiin paljastamalla sen valtuutustunnus sivustoille, mikä tarkoittaa, että mikä tahansa sivusto, jolla Grammarlyn käyttäjä käytti laajennusta, saattoi teoriassa kirjautua käyttäjätilille ja saada pääsyn tilitietoihinsa ja kirjoittamiinsa asiakirjoihin (jos sellaisia oli).
Se raportoi Googlen Zero-projekti tiimi, ja se paljastettiin vasta sen jälkeen, kun Grammarly-tiimillä oli mahdollisuus julkaista virheen ratkaisevia päivityksiä.
Grammarly-laajennuksen haavoittuvuus korjattu (20 miljoonaa käyttäjää), käyttäjät tulisi päivittää automaattisesti kiinteään versioon. Todennustunnisteet olivat verkkosivustojen käytettävissä, minkä ansiosta mikä tahansa verkkosivusto saattoi kirjautua tilillesi ja lukea kaikki asiakirjasi. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Helmikuu 5, 2018
Chromen ja Firefoxin laajennukset korjattiin nopeasti, kun taas Edge ei alun perin kärsinyt virheestä.
Ilmoituksessaan Gizmodo, Grammarlyn tiedottaja vahvisti: "Virhe on korjattu, eikä Grammarlyn käyttäjiltä vaadita mitään." Ei ollut tapauksia, joissa huonot toimijat olisivat käyttäneet haavoittuvuutta päästäkseen käsiksi käyttäjätietoihin.