1Password ha compartido que su software para Mac tiene una vulnerabilidad que expone a los usuarios a una amenaza potencialmente grave. Junto con la capacidad de comprometer credenciales, la falla puede dar a los actores maliciosos acceso a la clave de desbloqueo de tu cuenta.
1Password reveló los detalles de la falla en una publicación de seguridad. Afortunadamente, la vulnerabilidad no se ha informado como explotada en el mundo real, pero sigue siendo importante actualizar tu software para asegurarte de que estés seguro.
Se ha identificado un problema en 1Password para Mac que afecta las protecciones de seguridad de la plataforma de la aplicación. Este problema permite que un proceso malicioso que se ejecuta localmente en una máquina evite las protecciones de comunicación entre procesos.
Este problema nos fue comunicado de manera responsable por el Equipo Red de Robinhood después de que decidieron llevar a cabo una evaluación de seguridad independiente de 1Password para Mac. 1Password no ha recibido informes de que este problema haya sido descubierto o explotado por alguien más.
Cómo asegurarte de que 1Password para Mac esté seguro
La compañía dice que todos los usuarios que ejecuten 1Password 8 para Mac antes de la versión 8.10.36 (julio de 2024) están afectados.
Afortunadamente, la versión 8.10.36, disponible ahora, soluciona la vulnerabilidad. Así que asegúrate de verificar qué compilación tienes instalada.
Así es como funciona la falla:
Para explotar el problema, un atacante debe ejecutar software malicioso en una computadora que se dirige específicamente a 1Password para Mac. Un atacante puede aprovechar las validaciones de interprocesos específicas de macOS faltantes para secuestrar o suplantar una integración de confianza de 1Password, como la extensión del navegador de 1Password o CLI.
Esto permitiría que el software malicioso extraiga elementos del almacén, así como obtenga valores derivados utilizados para iniciar sesión en 1Password, específicamente la clave de desbloqueo de la cuenta y “SRP-𝑥”. Más información en la página 19 de 1Password Security Design.
FTC: Utilizamos enlaces de afiliados que generan ingresos. Más información.