AgileBits 1Password 6.3.3 多个漏洞 (macOS)
medium Nessus 插件 ID 100956
语言:
简介
远程主机上安装的密码管理应用程序受到多个漏洞影响。描述
远程 macOS 或 Mac OS X 主机上安装的 AgileBits 1Password 为 6.3.3 版。因此,该服务器受到多个漏洞的影响:- 内部 Web 浏览器中存在安全漏洞,此浏览器使用的默认协议设置为 HTTP。如果用户访问未指定完整 URL 的网站,即使有更安全的 HTTPS 协议可供使用,也不会采用。中间人攻击者可利用此漏洞泄露敏感信息。(SIK-2016-039)
- 密码管理器的数据库中存在安全漏洞,这是标题和 URL 缺少加密所致。能够获得加密数据库副本的攻击者可利用此漏洞,在无需破解密码的情况下,泄露用户已存储凭证的网站。(SIK-2016-040)
- 密码管理器中存在安全漏洞,这是将目标域发送至供应商的 Web 服务器以便从服务器端缓存获得代表各自目标站点的图标所致。供应商可利用此漏洞,跟踪用户已创建数据库条目的所有站点。(SIK-2016-042)
解决方案
升级到 6.3.3 以上的 AgileBits 1Password 版本。另见
https://team-sik.org/sik-2016-039/
https://team-sik.org/sik-2016-040/
插件详情
严重性: Medium
ID: 100956
文件名: macosx_agilebits_1password_multiple_vulns_01.nasl
版本: 1.2
类型: local
代理: macosx
发布时间: 2017/6/21
最近更新时间: 2018/9/4
支持的传感器: Nessus Agent, Nessus
风险信息
CVSS 分数理由: An in depth analysis by tenable researchers revealed the access complexity to be high.
CVSS v2
风险因素: Medium
基本分数: 5.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: manual
CVSS v3
风险因素: Medium
基本分数: 4.8
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞信息
CPE: cpe:/a:agilebits:1password
必需的 KB 项: Host/local_checks_enabled, Host/MacOSX/Version, installed_sw/1Password
补丁发布日期: 2016/9/27
漏洞发布日期: 2016/9/27