AgileBits 1Password 6.3.3 多个漏洞

medium Nessus 插件 ID 100955

简介

远程主机上安装的密码管理应用程序受到多个漏洞影响。

描述

远程 Windows 主机上安装的 AgileBits 1Password 为 6.3.3 版或更早版本。因此,该主机受到多个漏洞的影响:

- 内部 Web 浏览器中存在安全漏洞,此浏览器使用的默认协议设置为 HTTP。如果用户访问未指定完整 URL 的网站,即使有更安全的 HTTPS 协议可供使用,也不会采用。中间人攻击者可利用此漏洞泄露敏感信息。(SIK-2016-039)

- 密码管理器的数据库中存在安全漏洞,这是标题和 URL 缺少加密所致。能够获得加密数据库副本的攻击者可利用此漏洞,在无需破解密码的情况下,泄露用户已存储凭证的网站。(SIK-2016-040)

- 密码管理器中存在安全漏洞,这是将目标域发送至供应商的 Web 服务器以便从服务器端缓存获得代表各自目标站点的图标所致。供应商可利用此漏洞,跟踪用户已创建数据库条目的所有站点。(SIK-2016-042)

解决方案

升级到 6.3.3 以上的 AgileBits 1Password 版本。

另见

http://www.nessus.org/u?eedc9d32

https://team-sik.org/sik-2016-039/

https://team-sik.org/sik-2016-040/

https://team-sik.org/sik-2016-042/

插件详情

严重性: Medium

ID: 100955

文件名: agilebits_1password_multiple_vulns_01.nasl

版本: Revision: 1.1

类型: local

代理: windows

系列: Windows

发布时间: 2017/6/21

最近更新时间: 2017/6/21

支持的传感器: Nessus Agent, Nessus

漏洞信息

CPE: cpe:/a:agilebits:1password

必需的 KB 项: SMB/Registry/Enumerated, installed_sw/1Password

补丁发布日期: 2016/9/27

漏洞发布日期: 2016/9/27