کمیته رکن چهارم – یک آسیبپذیری بحرانی که در افزونهی کنترل دستور زبان Grammarly مرورگرهای کروم و فایرفاکس کشف شده است، به طور ناگهانی اطلاعات حسابهای همهی ۲۲ میلیون کاربر از جمله اسناد و پروندههای شخصی آنها را در برابر نفوذگران راه دور آسیبپذیر کرده است.
بنا به گفتهی پژوهشگر امنیتی گوگل، تاویس اُرماندی، که این آسیبپذیری را در تاریخ ۲ فوریه کشف کرد، افزونهی Grammarly فایرفاکس و کروم رمزوارههای (توکنهای) احراز هویت را در تمام وبگاهها افشاء میکند و یک مهاجم راه دور تنها با چهار خط کد جاوا اسکریپت میتواند از این اطلاعات بهرهبرداری کند.
به عبارت دیگر، هر وبگاهی که یک کاربر Grammarly از آن بازدید میکند میتواند رمزوارههای احراز هویت او را به سرقت ببرد، که اینها برای ورود به حساب کاربر و دسترسی بدون مجوز به همهی اسناد، تاریخچهها، گزارشها، و تمام اطلاعات کافی است.
اُرماندی در گزارش آسیبپذیری گفت: «من این آسیبپذیری را یک اشکال با شدت بالا ارزیابی میکنم، زیرا مانند یک نقض شدید انتظارات کاربر به نظر میرسد. کاربران انتظار ندارند که بازدید از یک وبگاه، مجوز دسترسی به اسناد و یا اطلاعاتی که در وبگاههای دیگر نوشتهاند را به آن بدهد.»
اُرماندی همچنین یک بهرهبرداری اثبات مفهومی ارائه داده است که تشریح میکند چگونه یک مهاجم میتواند به راحتی از این اشکال جدی استفاده کند تا تنها با ۴ خط کد، رمزوارهی دسترسی کاربر Grammarly را به سرقت ببرد.
این آسیبپذیری با شدت بالا روز جمعه کشف شد و خیلی زود صبح روز دوشنبه توسط گروه Grammarly رفع شد که بنا به گفتهی اُرماندی واقعاً یک زمان پاسخگویی تحسینبرانگیزی برای رفع چنین اشکالاتی است.
در حال حاضر برای افزونههای مرورگر کروم و فایرفاکس بهروزرسانی های امنیتی در دسترس قرار گرفته است، که بدون نیاز به انجام هیچ اقدامی توسط کاربر Grammarly باید به صورت خودکار بهروزرسانی شود.
یک سخنگوی Grammarly در یک رایانامه گفت: « Grammarly یک اشکال امنیتی را که توسط پژوهشگر امنیتی گوگل، تاویس اُرماندی گزارش شده بود، در عرض چند ساعت پس از کشف آن برطرف کرد. با این حال، Grammarly هیچ شواهدی مبنی بر افشاء اطلاعات کاربران توسط این اشکال ندارد.
ما همچنان به طور فعال بر فعالیتهای غیرمعمول نظارت میکنیم. این مسألهی امنیتی به طور بالقوه متن ذخیرهشده در ویرایشگر Grammarly را تحت تاثیر قرار داده بود. اما، صفحهکلید Grammarly و افزونهی مایکروسافت آفیس Grammarly و یا هر متن نوشته شده در وبگاهها را در هنگام استفاده از افزونهی مرورگر Grammarly تحت تاثیر قرار نداده بود. در حال حاضر این اشکال برطرف شده است، و نیاز به انجام هیچ اقدامی توسط کاربران Grammarly نیست.»
منبع : news.asis.io
