Ошибка в популярном расширении Grammarly для Chrome привела к утечке данных 22 млн пользователей - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Ошибка в популярном расширении Grammarly для Chrome привела к утечке данных 22 млн пользователей - «Новости»

Известный ИБ-эксперт, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил, что популярное расширение Grammarly, предназначенное для проверки правописания в Chrome, по ошибке предоставляло третьим сторонам доступ к пользовательским данным.


Орманди объясняет, что суть «критической проблемы» заключается в том, что расширение, которое применяют более 20 млн пользователей Chrome и 645 000 пользователей Firefox, написано очень плохо и, в частности, предоставляет посторонним сайтам доступ к аутентификационным токенам своих пользователей.


В итоге, если пользователь Grammarly попадет на вредоносный сайт, злоумышленники могут завладеть токенами и использовать их для входа в учетную запись Grammarly.com. После этого в распоряжении атакующих окажутся конфиденциальные данные пострадавших, в том числе «документы, логи, история браузера и прочая информация».


«Я считаю это проблему критической, так как это критическое нарушение пользовательских ожиданий. Вряд ли пользователи ожидают, что посещая какой-либо сайт, они дают ему разрешение на доступ к своим документам или иным данным, которые они писали на других сайтах», — говорит Орманди.


Хотя Орманди пишет, что перед публикацией информации о проблеме он предоставил разработчикам Grammarly положенные 90 дней для исправления уязвимости, сами представители Grammarly уверяют, что баг был устранен «за считанные часы», еще в конце прошлой недели, и обновленная версия уже распространена для всех пользователей:





Также разработчики инструмента для проверки правописания отмечают, что проблему не эксплуатировали злоумышленники, а потенциальная утечка данных затрагивала только информацию, сохраненную в Grammarly Editor, но не касалась Grammarly Keyboard, аддона Grammarly для Microsoft Office и любых текстовых данных, которые пользователи расширения для Chrome вводили на сайтах. 


Источник новостиgoogle.com

Известный ИБ-эксперт, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил, что популярное расширение Grammarly, предназначенное для проверки правописания в Chrome, по ошибке предоставляло третьим сторонам доступ к пользовательским данным. Орманди объясняет, что суть «критической проблемы» заключается в том, что расширение, которое применяют более 20 млн пользователей Chrome и 645 000 пользователей Firefox, написано очень плохо и, в частности, предоставляет посторонним сайтам доступ к аутентификационным токенам своих пользователей. В итоге, если пользователь Grammarly попадет на вредоносный сайт, злоумышленники могут завладеть токенами и использовать их для входа в учетную запись Grammarly.com. После этого в распоряжении атакующих окажутся конфиденциальные данные пострадавших, в том числе «документы, логи, история браузера и прочая информация». «Я считаю это проблему критической, так как это критическое нарушение пользовательских ожиданий. Вряд ли пользователи ожидают, что посещая какой-либо сайт, они дают ему разрешение на доступ к своим документам или иным данным, которые они писали на других сайтах», — говорит Орманди. Хотя Орманди пишет, что перед публикацией информации о проблеме он предоставил разработчикам Grammarly положенные 90 дней для исправления уязвимости, сами представители Grammarly уверяют, что баг был устранен «за считанные часы», еще в конце прошлой недели, и обновленная версия уже распространена для всех пользователей: We were made aware of a security issue with our extension on Friday and worked with Google to roll out a fix within a few hours. Thank you to @taviso and the team for finding and educating the community about the complexities of this bug. We will provide more updates soon. — Grammarly (@Grammarly) February 5, 2018 Также разработчики инструмента для проверки правописания отмечают, что проблему не эксплуатировали злоумышленники, а потенциальная утечка данных затрагивала только информацию, сохраненную в Grammarly Editor, но не касалась Grammarly Keyboard, аддона Grammarly для Microsoft Office и любых текстовых данных, которые пользователи расширения для Chrome вводили на сайтах. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))