באג הרחבה דקדוקית יכול היה לחשוף נתונים לשחקנים זדוניים
1 דקות לקרוא
פורסם ב
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קרא עוד
דקדוק מוקדם יותר בסוף השבוע נמצא כסובל מבאג שחשף נתוני משתמשים לכל אתר שבו נעשה שימוש. זה נעשה על ידי חשיפת אסימון ההרשאה שלו לאתרים, כלומר כל אתר שבו משתמש Grammarly השתמש בתוסף יכול בתיאוריה להיכנס לחשבון המשתמש ולקבל גישה לנתוני החשבון שלהם ולהקליד מסמכים (אם בכלל).
כך דווח על ידי פרויקט אפס של גוגל צוות, ונחשף רק לאחר שלצוות Grammarly הייתה הזדמנות לדחוף החוצה עדכונים לפתרון השגיאה.
פגיעות בסיומת Grammarly תוקנה (20 מיליון משתמשים), יש לעדכן משתמשים אוטומטית לגרסה קבועה. אסימוני אימות היו נגישים לאתרים, ואיפשרו לכל אתר להתחבר לחשבונך ולקרוא את כל המסמכים שלך. https://t.co/Ydk0JwArYD
- טאוויס אורמנדי (@taviso) פברואר 5, 2018
ההרחבות עבור Chrome ו-Firefox טופלו במהירות, בעוד Edge לא סבל מהבאג מלכתחילה.
בהצהרה ל Gizmodo, אישר דובר Grammarly, "הבאג תוקן, ומשתמשי Grammarly לא נדרשים לפעולה." לא היו מקרים של שחקנים רעים שהשתמשו בפגיעות כדי לגשת לנתוני משתמשים.