Durva hiba volt a böngészős kiegészítőben

2018.02.07. 08:06

Bármely weblapnak kifecseghette volna a hitelesítési kulcsot a Grammarly.

Újból lecsapott a nulladik napi sebezhetőségekre vadászó Google Project Zero talán legismertebb biztonsági kutatója, Tavis Ormandy ezúttal a 22 millió felhasználóval büszkélkedő Grammarly körmére nézett rá. Az angol nyelvterületen népszerű szolgáltatás egy komplex helyesírás-ellenőrző, ami nem csak a szimpla elgépeléseket, de akár a rossz szóhasználatot is képes kijelezni. A felhasználók dokumentumokat is menthetnek a kínált felhőtárhelyébe.

Forrás: Getty Images/iStockphoto/Serg3d

Természetesen a szolgáltatás beépülők formájában böngészőkbe is telepíthető, így szinte minden webhelyen használható, bármilyen beviteli mezőt ellenőrizhet. Ormandy specifikusan ezeket a beépülőket vette górcső alá, és rendkívül kellemetlen meglepetésre lett figyelmes: rosszindulatú webhelyek néhány sornyi kóddal

ellophatták a Grammarlyba bejelentkezett felhasználók hitelesítési kulcsait.

Ez lehetővé tette volna a támadók számára, hogy bejelentkezzenek az áldozatok nevében a szolgáltatásba, sőt: automatizált módon is letölthették volna a mentett dokumentumokat.

A potenciális felhasználói tábort figyelembe véve akár érzékeny üzleti információk is könnyen kikerülhettek volna a szolgáltatásból. A Chrome és Firefox böngészőkhöz készült bővítményekben egyaránt megtalálható volt a sebezhetőség.

Szerencsére a Grammarly szuper gyorsan reagált Ormandy bejelentésére, pár óra elteltével kiadta a bővítményeinek javított verzióit. A frissítéseket mostanra jó eséllyel már automatikusan telepítették a böngészők.

TOVÁBBI CIKKEK A ROVATBÓL

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!