知名密码管理器 1Password 近日被发现存在高危安全漏洞，该漏洞允许恶意软件绕过进程间通信保护窃取用户数据，包括账号密码、账户解锁密钥等。漏洞影响 1Password for Mac 版，新版本 8.10.38 已修复漏洞，建议用户尽快升级。

😨 **漏洞利用方式：** 恶意软件可以在设备上运行，绕过进程间通信保护，窃取 1Password 保险库数据，包括账号密码、账户解锁密钥和 SRP-x (安全远程密码)。攻击者可以利用该漏洞冒充 1Password 浏览器扩展来获取数据。

⚠️ **漏洞影响：** 该漏洞仅影响 1Password for Mac 版，新版本 8.10.38 已修复漏洞，建议用户尽快升级。目前还没有证据表明有黑客利用该漏洞进行攻击。

🛡️ **1Password 的应对措施：** 1Password 已经修复了漏洞，并发布了新版本 8.10.38。他们还表示，将在本周六 DEFCON 大会上发布有关该漏洞的更多信息，并会在官方博客上发布更新。

🤔 **安全提醒：** 即使是像 1Password 这样的知名密码管理器也可能存在漏洞，用户需要保持警惕，及时更新软件版本，并采取其他安全措施来保护自己的数据安全。

💻 **建议：** 建议所有 1Password for Mac 用户尽快升级到最新版本，并定期检查软件更新，以确保自身数据安全。

知名密码管理器 1Password 日前被发现存在高危安全漏洞，发现漏洞的参与 DEFCON 黑客大赛的安全研究人员，这枚漏洞将在本周六的演讲中被公布，研究人员提前告知 1Password 预留时间进行修复。

通常情况下密码管理器会使用主密码用来解锁数据，在 1Password 中该密码管理器使用 128 位密钥进行额外加密但必须与主密码进行配合使用，而恶意软件则可以绕过进程间的通信保护窃取密钥。

目前该漏洞仅影响 1Password for Mac 版并且新版本 8.10.38 中已经进行修复，因此建议用户检查并立即升级到最新版本确保安全。

CVE-2024-42219 漏洞：

在设备上运行的恶意软件进程可以绕过进程间的通信保护，以此可以窃取 1Password 保险库数据也就是各类账号和密码、获取用于登录 1Password 的派生值，特别是账户解锁密钥和 SRP-x (安全远程密码)。

1Password 证实攻击者可以利用漏洞冒充该密码管理器的浏览器扩展从而获得数据，不过漏洞暂时并未造成任何影响，现有证据表明除了安全研究人员外，没有黑客发现或利用此漏洞展开攻击。

基于安全考虑研究人员和 1Password 暂时都不会公布该漏洞的具体细节，待本周六研究人员在 DEFCON 黑客大赛上发布演讲后再公布漏洞的细节，1Password 采用的自动更新策略会在接下来两天里完成所有旧版本的升级。

1Password 在声明中表示：

研究人员发现当设备受到恶意软件攻击且黑客完全控制设备时，可能会出现安全缺陷。当恶意软件或黑客完全控制设备后，几乎无法保证安全。

我们已经解决了控制范围内的最新漏洞，在 8.10.38 客户端中修复了漏洞，感谢研究人员在本周六下午两点 (太平洋时间) 的 DEFCON 大会上发表演讲前向我们披露漏洞和合作进行修复。

我们致力于在网络安全问题上保持透明以确保用户安全，在演讲结束后我们将在官方博客上发布有关该漏洞的更多信息。