Bug ekstensi tata bahasa dapat mengekspos data ke aktor jahat
1 menit Baca
Ditampilkan di
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Grammarly awal akhir pekan ini ditemukan menderita bug yang mengekspos data pengguna ke situs web apa pun yang digunakannya. Ini dilakukan dengan memaparkan token otorisasinya ke situs, yang berarti situs mana pun yang menggunakan ekstensi oleh pengguna Grammarly secara teori dapat masuk ke akun pengguna dan mendapatkan akses ke data akun mereka dan mengetik dokumen (jika ada).
Dilaporkan oleh Project Zero Google tim, dan diungkapkan hanya setelah tim Grammarly memiliki kesempatan untuk mengeluarkan pembaruan yang menyelesaikan kesalahan.
Kerentanan dalam ekstensi Grammarly diperbaiki (20 juta pengguna), pengguna harus diperbarui secara otomatis ke versi tetap. Token autentikasi dapat diakses ke situs web, memungkinkan situs web apa pun untuk masuk ke akun Anda dan membaca semua dokumen Anda. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Februari 5, 2018
Ekstensi untuk Chrome dan Firefox dengan cepat ditambal, sementara Edge tidak mengalami bug sejak awal.
Dalam sebuah pernyataan untuk Gizmodo, juru bicara Grammarly mengkonfirmasi, “Bug telah diperbaiki, dan tidak ada tindakan yang diperlukan oleh pengguna Grammarly.” Tidak ada kasus pelaku jahat yang menggunakan kerentanan untuk mengakses data pengguna.