Kritisk feil i grammatisk stavekontroll kan la angripere stjele dataene dine

Et kritisk sikkerhetsproblem som ble oppdaget i Chrome- og Firefox-nettleserens utvidelse av grammatikkkontrollprogramvaren Grammatisk utelatt alle 22 millioner brukernes kontoer, inkludert deres personlige dokumenter og dokumenter, som er sårbare for eksterne hackere.

Ifølge Google Project Zero-forsker Tavis Ormandy, som oppdaget sikkerhetsproblemet 2. februar, ble Chrome og Firefox-utvidelsen av Grammatically-eksponert godkjenningstokener til alle nettsteder som kunne bli fanget av eksterne angripere med bare 4 linjer med JavaScript-kode.

Med andre ord, kan noen nettsider, en Grammatisk brukerbesøk, stjele hans / hennes autentiseringstokener, som er nok til å logge inn på brukerens konto og få tilgang til alle “dokumenter, historie, logger og alle andre data” uten tillatelse.
“Jeg kaller dette en stor alvorlig feil, fordi det virker som en ganske alvorlig brudd på brukerens forventninger,” sa Ormandy i en sårbarhetsrapport. “Brukere ville ikke forvente at å besøke et nettsted gir det tillatelse til å få tilgang til dokumenter eller data de har skrevet inn på andre nettsteder.”

Ormandy har også gitt et proof-of-concept (PoC) utnyttelse, som forklarer hvordan man lett kan utløse denne alvorlige feilen for å stjele Grammarly-brukerens tilgangstoken med bare fire kodelinjer.
grammatikk-kontroll-software-hack
Denne alvorlighetsgraden ble oppdaget på fredag ​​og fast tidlig mandag morgen av Grammarly-teamet, som ifølge forskeren er “en veldig imponerende responstid” for å løse slike feil.

Sikkerhetsoppdateringer er nå tilgjengelige for både Chrome- og Firefox-nettleserutvidelser, som skal oppdateres automatisk uten å kreve noen handling av grammatiske brukere.
En grammatisk talsmann fortalte også i en e-post at selskapet ikke har noe bevis for at brukere blir utsatt for dette sikkerhetsproblemet.

“Grammatisk løst en sikkerhetsfeil som ble rapportert av Googles Project Zero-sikkerhetsforsker, Tavis Ormandy, innen få timer etter oppdagelsen. Grammarly har på dette tidspunkt ingen bevis for at brukerinformasjon ble kompromittert av dette problemet, sier talsmannen.

“Vi fortsetter å overvåke aktivt for uvanlig aktivitet. Sikkerhetsproblemet potensielt påvirket tekst lagret i grammatikkredigering. Denne feilen påvirket ikke grammatisk tastatur, grammatisk Microsoft Office-tillegg eller noen tekst skrevet på nettsteder mens du bruker Grammatisk nettleserutvidelse. Feilen er løst, og det er ingen handling nødvendig av grammatiske brukere. “