パスワードマネージャーアプリ1Passwordは、2024年8月6日、「1Password for Mac」において、セキュリティ保護に関する重大な脆弱性が確認されたことを発表しています。
この脆弱性は「CVE-2024-42219」として特定され、攻撃者がローカル環境で、macOSのプロセス間検証を悪用して、1Passwordブラウザ拡張機能やCLIなどの1Password統合を乗っ取ったり、なりすましたりすることが可能になります。
これにより、悪意のあるソフトウェアが、1Passwordの保管庫内の内容を盗み出すだけでなく、1Passwordへのサインインに使用されるアカウントロック解除キーやロック解除に接続するための「SRP-𝑥」を取得できるようになります。
この脆弱性は、Robinhoodのセキュリティチームによって発見及び開示されたもので、1Passwordは、この問題が悪用されたという報告は受けていないとしています。
なお、この脆弱性は、1Password for Macの最新バージョン以外のすべてのバージョンに影響しており、1Password for Mac「8.10.36 (2024 年7月)」 で修正されています。
1Passwordは、影響を受けるバージョンの1Password for Macを使用しているユーザーに対し、最新バージョンの「8.10.36」にアップデートするように推奨しています。
