Kielioppilaajennusvirhe olisi voinut paljastaa tiedot haitallisille toimijoille

1 min. lukea

Julkaistu Helmikuu 6, 2018

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta.

Kieliopillisesti aiemmin tänä viikonloppuna havaittiin kärsivän bugista, joka paljasti käyttäjätiedot mille tahansa verkkosivustolle, jolla sitä käytettiin. Tämä tehtiin paljastamalla sen valtuutustunnus sivustoille, mikä tarkoittaa, että mikä tahansa sivusto, jolla Grammarlyn käyttäjä käytti laajennusta, saattoi teoriassa kirjautua käyttäjätilille ja saada pääsyn tilitietoihinsa ja kirjoittamiinsa asiakirjoihin (jos sellaisia oli).

Se raportoi Googlen Zero-projekti tiimi, ja se paljastettiin vasta sen jälkeen, kun Grammarly-tiimillä oli mahdollisuus julkaista virheen ratkaisevia päivityksiä.

Grammarly-laajennuksen haavoittuvuus korjattu (20 miljoonaa käyttäjää), käyttäjät tulisi päivittää automaattisesti kiinteään versioon. Todennustunnisteet olivat verkkosivustojen käytettävissä, minkä ansiosta mikä tahansa verkkosivusto saattoi kirjautua tilillesi ja lukea kaikki asiakirjasi. https://t.co/Ydk0JwArYD

- Tavis Ormandy (@taviso) Helmikuu 5, 2018

Chromen ja Firefoxin laajennukset korjattiin nopeasti, kun taas Edge ei alun perin kärsinyt virheestä.

Ilmoituksessaan Gizmodo, Grammarlyn tiedottaja vahvisti: "Virhe on korjattu, eikä Grammarlyn käyttäjiltä vaadita mitään." Ei ollut tapauksia, joissa huonot toimijat olisivat käyttäneet haavoittuvuutta päästäkseen käsiksi käyttäjätietoihin.

Lisää aiheista: kromi, reuna, laajentaminen, firefox, Grammarly