语法扩展错误可能已将数据暴露给恶意行为者
1分钟读
发表于
读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
本周末早些时候,Grammarly 被发现存在一个漏洞,该漏洞将用户数据暴露给使用它的任何网站。 这是通过将其授权令牌暴露给站点来完成的,这意味着 Grammarly 用户使用扩展的任何站点理论上都可以登录到用户帐户并访问他们的帐户数据和键入的文档(如果有的话)。
据报道 Google的零项目 团队,并且只有在 Grammarly 团队有机会推出解决错误的更新后才披露。
Grammarly 扩展中的漏洞已修复(20M 用户),用户应自动更新到固定版本。 网站可以访问身份验证令牌,允许任何网站登录您的帐户并阅读您的所有文档。 https://t.co/Ydk0JwArYD
-塔维斯·奥曼迪(@taviso) 2018 年 2 月 5 日
Chrome 和 Firefox 的扩展很快就被修补了,而 Edge 并没有受到这个错误的影响。
在一份声明中 Gizmodo的,Grammarly 发言人证实,“该错误已修复,Grammarly 用户无需采取任何行动。” 没有恶意行为者使用该漏洞访问用户数据的案例。