AgileBits 1Password 6.3.3 多个漏洞 (macOS)

medium Nessus 插件 ID 100956

简介

远程主机上安装的密码管理应用程序受到多个漏洞影响。

描述

远程 macOS 或 Mac OS X 主机上安装的 AgileBits 1Password 为 6.3.3 版。因此,该服务器受到多个漏洞的影响:

- 内部 Web 浏览器中存在安全漏洞,此浏览器使用的默认协议设置为 HTTP。如果用户访问未指定完整 URL 的网站,即使有更安全的 HTTPS 协议可供使用,也不会采用。中间人攻击者可利用此漏洞泄露敏感信息。(SIK-2016-039)

- 密码管理器的数据库中存在安全漏洞,这是标题和 URL 缺少加密所致。能够获得加密数据库副本的攻击者可利用此漏洞,在无需破解密码的情况下,泄露用户已存储凭证的网站。(SIK-2016-040)

- 密码管理器中存在安全漏洞,这是将目标域发送至供应商的 Web 服务器以便从服务器端缓存获得代表各自目标站点的图标所致。供应商可利用此漏洞,跟踪用户已创建数据库条目的所有站点。(SIK-2016-042)

解决方案

升级到 6.3.3 以上的 AgileBits 1Password 版本。

另见

https://team-sik.org/sik-2016-039/

https://team-sik.org/sik-2016-040/

https://team-sik.org/sik-2016-042/

http://www.nessus.org/u?eedc9d32

插件详情

严重性: Medium

ID: 100956

文件名: macosx_agilebits_1password_multiple_vulns_01.nasl

版本: 1.2

类型: local

代理: macosx

发布时间: 2017/6/21

最近更新时间: 2018/9/4

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: An in depth analysis by tenable researchers revealed the access complexity to be high.

CVSS v2

风险因素: Medium

基本分数: 5.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 4.8

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

漏洞信息

CPE: cpe:/a:agilebits:1password

必需的 KB 项: Host/local_checks_enabled, Host/MacOSX/Version, installed_sw/1Password

补丁发布日期: 2016/9/27

漏洞发布日期: 2016/9/27