Datenabfluss möglich: Schwachstellen in 1Password gefährden MacOS-Nutzer
In 1Password 8 für Mac klaffen zwei Sicherheitslücken, die es Angreifern ermöglichen, Tresorelemente von MacOS-Nutzern abzugreifen. Wie der Anbieter des weit verbreiteten Passwortmanagers in Supportmitteilungen zu den beiden als CVE-2024-42218(öffnet im neuen Fenster) und CVE-2024-42219(öffnet im neuen Fenster) registrierten Schwachstellen erklärte, lassen sich zudem jeweils abgeleitete Werte exfiltrieren, die für die Anmeldung bei 1Password verwendet werden – "insbesondere der Schlüssel zur Entsperrung des Kontos sowie 'SRP-𝑥'".
Damit ein Angriff gelingt, muss ein Angreifer allerdings bei beiden Lücken bereits in der Lage sein, auf dem Zielsystem eine eigene Software auszuführen. Möglich ist dies beispielsweise per Malware, die zuvor durch einen Phishing-Angriff oder unter Ausnutzung anderer Sicherheitslücken eingeschleust wurde.
Zwei Lücken mit vergleichbaren Auswirkungen
Haben Angreifer den nötigen Zugriff erlangt, können sie laut 1Password im Falle von CVE-2024-42219(öffnet im neuen Fenster) fehlende MacOS-spezifische Validierungen für die prozessübergreifende Kommunikation missbrauchen, "um eine vertrauenswürdige 1Password-Integration wie die 1Password-Browsererweiterung oder -CLI zu kapern oder sich als diese auszugeben". Infolgedessen erhalten Angreifer Zugang zu den genannten Nutzerdaten.
CVE-2024-42218 hingegen basiert(öffnet im neuen Fenster) auf der Annahme, dass Angreifer eine veraltete Version von 1Password mit Schwachstellen in Abhängigkeiten von Drittanbietern sowie fehlenden Sicherheitsmaßnahmen aus neueren Versionen auf das Zielsystem laden. Damit könnten böswillige Akteure anschließend "auf die mit 1Password verbundenen Geheimnisse zugreifen, die im MacOS-Schlüsselbund gespeichert sind", erklärte 1Password.
Patches sind verfügbar
CVE-2024-42219 wurde mit Version 8.10.36 (vom 9. Juli) von 1Password für Mac gepatcht, CVE-2024-42218 hingegen erst mit Version 8.10.38 vom 6. August. Auch im Changelog der Software(öffnet im neuen Fenster) sind entsprechende Hinweise zu finden. Wer noch eine Version vor 8.10.38 verwendet, sollte 1Password daher dringend aktualisieren. Die aktuelle Version ist 8.10.39, veröffentlicht am 8. August.
Erwähnenswert ist in diesem Zusammenhang, dass Passworttresore bei 1Password auch mit anderen Nutzern wie Arbeitskollegen, Freunden oder Familienmitgliedern geteilt werden können. Insofern sind bei erfolgreicher Ausnutzung möglicherweise auch Daten von Nutzern betroffen, die selber gar keinen Mac besitzen.
Als Entdecker beider Sicherheitslücken gibt 1Password das Red Team von Robinhood an. Aufgefallen seien die Schwachstellen im Rahmen einer unabhängigen Sicherheitsbewertung von 1Password für Mac. Für beide Lücken gibt der Anbieter an, bisher keine Berichte über eine aktive Ausnutzung erhalten zu haben. Nach Veröffentlichung der Schwachstellen kann sich das allerdings schnell ändern.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.