Die beiden Schwachstellen von 1Password, offiziell als CVE-2024-42218 und CVE-2024-42219 registriert, betreffen spezifisch die Version 1Password 8 für Mac, wie das Red Team von Robinhood herausgefunden hat.
Laut Angaben des Unternehmens könnten diese Lücken es Angreifern ermöglichen, auf Tresorelemente zuzugreifen - also auf die Passwörter. Besonders beunruhigend ist die Möglichkeit, dass auch Schlüssel zur Kontoentsperrung betroffen sein könnten.
Der Angriff ist zwar kompliziert, aber nicht unmöglich. Der Angreifer muss der Lage sein, eigene Software auf dem betroffenen Mac auszuführen. Das könnte aber durchaus mit Hilfe einer eingeschleuste Malware unter Ausnutzung anderer Sicherheitslücken geschehen.
Detaillierte Analyse der Sicherheitslücken
Die als CVE-2024-42219 bezeichnete Schwachstelle nutzt fehlende Validierungen in der prozessübergreifenden Kommunikation aus. Dies könnte es Angreifern ermöglichen, so zu tun als wäre ihre App 1Password. Das könnte über Browser-Erweiterungen funktionieren. Im Erfolgsfall würde dies den Zugriff auf Nutzerdaten eröffnen.
Die zweite Lücke, CVE-2024-42218, basiert auf einem Szenario, in dem eine veraltete Version von 1Password auf dem System installiert ist, der wichtige Sicherheitsmaßnahmen neuerer Versionen fehlen.
Sicherheitsforscher weisen darauf hin, dass es besonders problematisch werden kann, wenn 1Password-Tresore mit anderen Nutzern geteilt werden. Dann könnten bei einem Angriff nicht nur die Daten des direkten Mac-Nutzers gefährdet sind, sondern auch die von Kollegen, Freunden oder Familienmitgliedern, die den Tresor gemeinsam nutzen.
1Password hat bereits Schritte unternommen, um die identifizierten Sicherheitslücken zu schließen. CVE-2024-42219 wurde mit der Version 8.10.36 gepatcht, CVE-2024-42218 wurde mit Version 8.10.38 vom 6. August geschlossen. Die neue 1Password-Version 8.10.39, die am 8. August veröffentlicht wurde, enthält alle notwendigen Sicherheitsupdates. Jeder sollte also einmal prüfen, ob die aktuelle Version installiert ist.
Verwendest du 1Passwort oder vertraust du einem anderen Passwortmanager? Schreibe doch gerne einmal in die Kommentare, wie das bei dir ist.
- Test: Das sind die besten Mäuse für den Mac - Spoiler: Es ist nicht die Magic Mouse
- Telefonieren mit dem Mac: Dank Gratis-App in Minutenschnelle möglich
- Ausprobiert: Chromebook statt MacBook Pro – wie gut sind die „Google-Notebooks“?
- Apple Watch SE im Test: Von der Kunst des Weglassens – wer braucht überhaupt die teurere Series 6?
Diskutiere mit!
Hier kannst du den Artikel "1Password für Mac braucht ein dringendes Update" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Die Kommentare für diesen Artikel sind geschlossen.