Grammarly拡張機能のバグにより、悪意のある攻撃者にデータが公開された可能性があります
1分。 読んだ
上で公開
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
文法的に今週末の初めに、ユーザーデータを使用されているWebサイトに公開するバグに悩まされていたことが判明しました。 これは、認証トークンをサイトに公開することで行われました。つまり、Grammarlyユーザーが拡張機能を使用したサイトは、理論的にはユーザーアカウントにログインして、アカウントデータと入力したドキュメント(存在する場合)にアクセスできます。
報告された GoogleのProject Zero チームであり、Grammarlyチームがエラーを解決する更新をプッシュする機会を得た後にのみ開示されました。
Grammarly拡張機能の脆弱性が修正されました(20万ユーザー)。ユーザーは固定バージョンに自動更新する必要があります。 AuthトークンはWebサイトにアクセス可能であり、どのWebサイトでもアカウントにログインしてすべてのドキュメントを読むことができます。 https://t.co/Ydk0JwArYD
- Tavis Ormandy(タビソ) 2018 年 2 月 5 日
ChromeとFirefoxの拡張機能にはすぐにパッチが適用されましたが、Edgeはそもそもバグに悩まされていませんでした。
声明の中で ギズモード、Grammarlyの広報担当者は、「バグは修正されており、Grammarlyユーザーが行う必要のあるアクションはありません」と確認しました。 この脆弱性を利用してユーザーデータにアクセスする悪意のある人物の事例はありませんでした。