قد يؤدي وجود خلل في برنامج 1Password 8 لنظام macOS إلى تعريض العناصر المخزنة في الخزنة للقراصنة أو البرامج الضارة. تم حل المشكلة، التي اكتشفها فريق Red Team التابع لشركة Robinhood، في إصدار 1Password 8 8.10.36 والإصدارات الأحدث.
تم تحديد هذه المشكلة على أنها سي في إي-2024-42219يرجع ذلك إلى تنفيذ غير مكتمل للاتصال بين العمليات في XPC. وببساطة، فإن الشيء الذي من المفترض أن يمنع التطبيقات غير الموثوقة من التحدث إلى 1Password معطل. يمكن للمهاجم الذي يحصل على حق الوصول إلى جهاز Mac الخاص بالضحية انتحال صفة تطبيق موثوق به (مثل ملحق متصفح 1Password)، وجمع مفاتيح الأمان من الضحية، وسرقة خزائن الضحية.
يقول فريق Robinhood’s Red Team، إلى جانب 1Password نفسه، إن CVE-2024-42219 لم يتم استغلاله في البرية. كما تم تصحيحه في يوليو تحديث 8.10.36، مما يعني أن عدد قليل جدًا من مستخدمي 1Password معرضون حاليًا للتهديد.
لم تحدد الشركة ما إذا كان CVE-2024-42219 يؤثر على 1Password 7، والذي لا يزال جزء صغير من المستخدمين متمسكين به. ومع ذلك، تم إيقاف 1Password 7 ولم يعد يتلقى تحديثات أمان منتظمة. لا نوصي باستخدام 1Password 7.
يتميز تطبيق 1Password لسطح المكتب بقدرته على تحديث نفسه. ومع ذلك، يجب عليك التحقق من رقم الإصدار الحالي لتطبيق 1Password من لوحة “حول” في إعدادات التطبيق (افتح 1Password، واضغط على Command+Comma على لوحة المفاتيح، ثم حدد “حول”). إذا كنت تستخدم الإصدار 8.10.36 أو 8.10.38، فهذا كل شيء على ما يرام.
قد تفشل التحديثات التلقائية إذا لم يتم استخدام 1Password بانتظام أو إذا تم تعطيل عمليات الخلفية للتطبيق. إذا وجدت أنك تستخدم إصدارًا قديمًا من 1Password، فاضغط على زر “التحقق من التحديثات” في صفحة “حول”. أو انقر فوق “إعادة التشغيل الآن” إذا كان التطبيق قد اكتشف بالفعل تحديثًا جديدًا.
لاحظ أن 1Password 8.10.38 قد يقوم تلقائيًا “بإعادة تعيين بعض إعداداتك إلى الإعدادات الافتراضية” كإجراء “احتياطي أمان”. ويرجع هذا إلى تحديثات جديدة تحسينات أمنية تم اختبارها مسبقًا في القناة التجريبية (ولا علاقة لها بـ CVE-2024-42219). لم يتوقع فريق 1Password رسالة الخطأ هذه، ولم يحدد الإعدادات التي يمكن تعيينها تلقائيًا على الإعدادات الافتراضية.
مصدر: 1كلمة المرور عبر السجل