1Password の深刻な脆弱性 CVE-2024-42219/42218 が FIX:アップデートの確認が重要

Critical 1Password flaws may allow hackers to snatch your passwords (CVE-2024-42219, CVE-2024-42218)

2024/08/09 HelpNetSecurity — 人気の 1Password パスワード・マネージャを提供する、AgileBits が発表したのは、macOS バージョンに影響を及ぼす2つの脆弱性 CVE-2024-42219/CVE-2024-42218 に関する情報である。これらの脆弱性の悪用に成功した攻撃者は、マルウェアを用いることで、ソフトウェアの保管庫に保存されたシークレットを盗み出し、アカウントのロック解除キーを取得する可能性を手にするという。


これらの脆弱性は、1Password (Mac版) のセキュリティを評価していた Robinhood Red Team により発見され、AgileBits に対して非公開で報告された。すでに、この脆弱性は、v8.10.36 (7月9日リリース) と v8.10.38 (8月6日リリース) により修正されている。

AgileBits によると、これらの問題が他者に発見されることはなく、また、悪用されたという報告は受けていないという。

脆弱性 CVE-2024-42219/CVE-2024-42218 について

脆弱性 CVE-2024-42219 は、マシン上でローカルに実行されている、悪意のあるプロセスであるマルウェアによる、プロセス間通信の保護バイパスを可能にするものだ。AgileBits は、「macOS 特有のプロセス間検証の欠落を悪用する攻撃者は、1Password のブラウザ・エクステンションや CLI といった、信頼できる 1Password 統合機能の乗っ取りや、なりすましを試行できる。

もう1つの脆弱性 CVE-2024-42218 は、1Password for Mac アプリの古いバージョンに存在するものであり、macOS 固有のセキュリティ・メカニズムをバイパスを、攻撃者に許す可能性を持つ。

AgileBits は、「この問題を悪用する攻撃者は、対象となるコンピュータ上でマルウェアを実行し、1Password for Mac を標的とする必要がある。古いバージョンの 1Password を、攻撃者がユーザーのコンピュータ上にロードできれば、macOS のキーチェーンに保存されている、1Password に関連するシークレットにアクセスできるようになると述べている。

さらに同社は、「この問題は、依存関係のあるサードパーティの、脆弱性の取り込みに起因するものである。具体的に言うと、1Password の旧バージョンが悪用されるものであり、1Password の最新バージョンで有効化されているセキュリティ強化対策が、そこでは欠落していることになる。これらの古いバージョンの存在を悪用する攻撃者は、新しいバージョンのアプリに攻撃を仕掛けることが可能となる」と付け加えている。

どちらの脆弱性の悪用においても、マルウェアによる、保管庫のアイテムに流出に加えて、1Password へのサインインに使用される派生値の窃取が、具体的に言うとアカウント・ロック解除キー [AUK] と ‘SRP-‘ の窃取が可能になる。

この脆弱性は 1Password for Mac にのみに影響を及ぼすものである。

アップデートの自動インストール・オプションを ON にしていないユーザーの場合は、は、可能な限り早急に、最新バージョンへとアップグレードすることが推奨される。なお、すでにアップグレードされているユーザーもいれば、アプリを起動するとアップグレードを要求されるユーザーもいる。

詳細は近日発表

これらの脆弱性の存在は、今週まで伏せられてきた。しかし、いまでは、それぞれのセキュリティ勧告が発表され、このソフトウェア・リリースノートのページが更新されている。

また、今週の土曜日に開催されるDEF CONで、Robinhood Red チームは自身の研究成果についてセッションを持っているため、そこで、この欠陥の詳細が発表されると思われる。

1Password の macOS バージョンに存在する CVE-2024-42219/CVE-2024-42218 ですが、アドバイザにシスされている CVSS 値は、どちらも 6.3 とのことです。それほど高い値ではありませんが、古いバージョンの 1Password をロードできる攻撃者が登場すると、かなり深刻な状況に陥ることが予測されます。ご利用のユーザーは、ご注意ください。よろしければ、1Password で検索も、ご参照ください。