Une faille dans 1Password sur Mac permet de voler des informations d’identification
Les utilisateurs de 1Password 8 sur Mac sont invités à mettre à jour le gestionnaire de mot de passe pour boucher une faille de sécurité. Celle-ci permet à un hacker de collecter des informations d’identification.
Une faille corrigée dans 1Password sur Mac
L’équipe de 1Password détaille la faille de sécurité (CVE-2024-42219) de la façon suivante :
Une faille a été identifiée dans 1Password pour Mac qui affecte les protections de sécurité de la plateforme de l’application. Ce problème permet à un processus malveillant s’exécutant localement sur une machine de contourner les protections de communication inter-processus.
Ce problème nous a été révélé de manière responsable par la Red Team de Robinhood, qui a décidé de procéder à une évaluation indépendante de la sécurité de 1Password pour Mac. 1Password n’a reçu aucun signalement indiquant que cette faille a été découverte ou exploitée par quelqu’un d’autre.
Le fait que personne n’a exploité cette vulnérabilité est une bonne chose pour les utilisateurs du gestionnaire de mots de passe. Il leur est maintenant fortement conseillé d’installer la mise à jour 8.10.36 qui est disponible dès maintenant au téléchargement.
Et maintenant que le correctif est disponible, l’équipe de 1Password explique comment il fallait faire pour exploiter la faille :
Pour exploiter la faille, un pirate doit exécuter un logiciel malveillant sur un ordinateur ciblant spécifiquement 1Password pour Mac. Un attaquant est capable d’abuser des validations inter-processus manquantes spécifiques à macOS pour détourner ou se faire passer pour une intégration 1Password de confiance, telle que l’extension de navigateur 1Password ou la ligne de commande.
Cela permettrait au logiciel malveillant d’exfiltrer des éléments du coffre-fort, ainsi que d’obtenir des valeurs dérivées utilisées pour se connecter à 1Password, en particulier la clé de déverrouillage du compte et le « SRP-𝑥 ».