Lỗi phần mở rộng ngữ pháp có thể đã làm lộ dữ liệu cho các tác nhân độc hại
1 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Grammarly vào đầu tuần này đã bị phát hiện mắc phải một lỗi làm lộ dữ liệu người dùng trên bất kỳ trang web nào mà nó được sử dụng. Điều này được thực hiện bằng cách để lộ mã thông báo ủy quyền của nó cho các trang web, có nghĩa là bất kỳ trang web nào mà người dùng Grammarly sử dụng tiện ích mở rộng trên về lý thuyết đều có thể đăng nhập vào tài khoản người dùng và có quyền truy cập vào dữ liệu tài khoản của họ và nhập tài liệu (nếu có).
Nó đã được báo cáo bởi Dự án của Google Zero và chỉ được tiết lộ sau khi nhóm Grammarly có cơ hội đưa ra các bản cập nhật giải quyết lỗi.
Đã sửa lỗ hổng trong tiện ích mở rộng Grammarly (20 triệu người dùng), người dùng sẽ được tự động cập nhật lên phiên bản cố định. Mã thông báo xác thực có thể truy cập vào các trang web, cho phép bất kỳ trang web nào đăng nhập vào tài khoản của bạn và đọc tất cả tài liệu của bạn. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) 5 Tháng hai, 2018
Các tiện ích mở rộng cho Chrome và Firefox đã nhanh chóng được vá, trong khi Edge không bị lỗi ngay từ đầu.
Trong một tuyên bố để Gizmodo, người phát ngôn của Grammarly xác nhận, "Lỗi đã được sửa và người dùng Grammarly không cần thực hiện hành động nào." Không có trường hợp nào kẻ xấu sử dụng lỗ hổng để truy cập dữ liệu người dùng.